1507/J XXI.GP
Eingelangt am: 21.11.2000
er Abgeordneten Ing. Westenthaler
und Kollegen
an den Bundesminister für Inneres
betreffend Datenmißbrauch im Bundesministerium für Inneres
Das Bundesministerium für Inneres und die ihm unterstellten Dienststellen verfügen über
eine Unzahl von personenbezogenen Daten, die im Rahmen ihrer Aufgaben gesammelt
werden. Diese Daten betreffen so gut wie alle Bürgerinnen und Bürger unseres Landes
und umfassen Meldedaten, Daten über verschiedene Berechtigungen, wie z. B.
Führerschein, Waffenpaß, aber auch hochsensible Daten wie etwa die
Suchtgiftinformation, die auch alle Anzeigen nach dem Suchtgiftgesetz enthält. In der
letzten Zeit ist offenkundig geworden, daß die Kontrolle der Zugriffsmöglichkeiten
äußerst mangelhaft organisiert war. So ist hervorgekommen, daß polizeiliche
Datenbanken in einer Vielzahl von Fällen illegal abgefragt wurden. Es stellt sich die Frage
weshalb es verabsäumt wurde, ausreichende Kontrollmöglichkeiten zu schaffen, die eine
mißbräuchliche Verwendung der Daten nach Möglichkeit verhindern könnten.
Dies trifft in besonderer Weise auf das EKIS zu, zu dem mehr als 30.000
Zugriffsberechtigte Zugang haben.
Die unterfertigten Abgeordneten richten daher an den Bundesminister für Inneres
nachstehende
1. Welche Daten bzw. Dateien werden in das EKIS aufgenommen?
2. Welche Erwägungen waren für die Aufnahme der einzelnen Dateien (z. B. das
Strafregister, das
Kraftfahrzeugzentralregister, die Personenfahndungsdatei, das
Fremdeninformationssystem, die Suchtgiftinformation und andere
sicherheitspolizeiliche Dateien) in das EKIS maßgebend?
3. Welche konkreten Daten werden in den einzelnen Dateien geführt?
4. Werden im Rahmen des EKIS auch Gesundheitsdaten gespeichert (z. B. die
sogenannte Geisteskrankendatei)?
Wenn ja, um welche konkreten Daten handelt es sich konkret?
5. Trifft es zu, daß einzelne Dateien datenschutzrechtlich nicht registriert sind?
Wenn ja, weshalb und welche Dateien betrifft dies?
6. Welche Rechtsgrundlage ist für die Aufnahme von Daten in das EKIS grundsätzlich
maßgebend?
7. Welche Richtlinien bestehen bezüglich der Aufnahme von Daten bzw. Dateien?
8. Bei welchen Dienststellen erfolgt die Einspeicherung von Daten in das EKIS?
9. Nach welchen Gesichtspunkten erfolgt die Auswahl der Personen, die zur
Einspeicherung von Daten berechtigt sind?
10. Auf welche Weise wird die Richtigkeit der eingespeicherten Daten sichergestellt?
11. Trifft es zu, daß bezüglich der Löschung von bereits eingespeicherten Daten keinerlei
Richtlinien bestehen?
Wenn ja, warum nicht?
Wenn nein, welche Richtlinien gibt es?
12. Trifft es zu, daß die Betroffenen über die Einspeicherung von Daten nicht informiert
werden?
Wenn ja, warum?
Wenn
nein, auf welche Weise werden sie informiert?
13. Wie beurteilen Sie den Umstand, daß die Betroffenen über die Einspeicherung von
Daten nicht informiert werden?
14. Besteht seitens der Betroffenen die Möglichkeit über die gespeicherten Daten
Auskunft zu erlangen?
Wenn ja, über welche Daten?
Wenn nein, warum nicht?
15. Welche konkreten Schritte sind zu ergreifen und welche Stellen sind zu befassen, um
über die Speicherung von Daten Auskunft zu erhalten?
16. Besteht seitens Betroffener die Möglichkeit, die Löschung von Daten, z. B.
falsifizierter Daten, zu erwirken?
Wenn ja, auf welche Weise?
Wenn nein, warum nicht?
17. Welche Möglichkeiten bestehen seitens Betroffener, die Richtigstellung falscher
Daten zu erwirken?
18. Trifft es zu, daß ca. 31.000 Benutzer allein aus Ihrem Ressort mit dem Zugriffsrecht
auf das EKIS ausgestattet sind?
Wenn nein, wie viele Personen sind mit dem Zugriffsrecht ausgestattet?
19. Wie viele Benutzer sind jeweils mit dem Zugriffsrecht für die einzelnen Dateien des
EKIS ausgestattet?
20. Ist es richtig, daß auch Stellen außerhalb Ihres Ressorts über Zugriffsberechtigungen
verfügen?
Wenn ja, um welche Stellen und um wie viele Benutzer handelt es sich?
21. In welchem Umfang bestehen die Zugriffsrechte dieser Stellen und welche
Erwägungen sind dafür maßgebend?
22. Auf welche Weise werden die
Zugriffsberechtigungen in Ihrem Ressort vergeben?
23. Auf welche Weise wird über den Umfang der Zugriffsberechtigungen der einzelnen
Benutzer entschieden?
24. Wie beurteilen Sie die überaus hohe Zahl von Zugriffsberechtigungen und den
Umfang der Zugriffsberechtigungen vor dem Hintergrund der bekanntgewordenen
Mißbrauchsfälle?
25. Bei welchen Dienststellen werden die Zugriffsberechtigungen geführt?
26. Bei welchen Dienststellen wurden Datenschutzbeauftragte bestellt und welche
Befugnisse kommen diesen zu?
27. Trifft es zu, daß im Vorjahr rund 52 Mio. EKIS - Abfragen getätigt wurden?
Wenn ja, wie viele waren es genau?
28. Auf welche Weise erfolgt die Protokollierung der Abfragen?
29. Trifft es zu, daß die Protokollierung der Abfragen 3 Jahre lang gespeichert bleibt?
Wenn ja, weshalb wurde dieser Zeitraum gewählt?
Wenn nein, wie lange bleibt die Protokollierung gespeichert und weshalb wurde
dieser Zeitraum gewählt?
30. Trifft es zu, daß bei jeder EKIS - Abfrage der Grund der Abfrage eingegeben werden
muß?
Wenn ja, welche Gründe berechtigen zu einer EKIS-Abfrage?
31. Auf welche Weise erfolgt die Kontrolle der Abfrageprotokollierungen?
32. Welche Personen sind zur Kontrolle der Abfrageprotokollierungen berechtigt?
33. Wie viele EKIS - Abfragen der Jahre 1999 und 2000 wurden tatsächlich kontrolliert?
34. In wie vielen Fällen wurde eine
mißbräuchliche Abfrage festgestellt?
35. Wurden dienstrechtliche bzw. strafrechtliche Konsequenzen bei mißbräuchlicher
Abfrage gezogen?
Wenn ja, welche und in wie vielen Fällen?
Wenn nein, warum nicht?
36. Wie ist die Vorgangsweise bei den sogenannten Funkabtragen?
37. Ist es richtig, daß eine Protokollierung der Funkabfragen in der Vergangenheit nicht
erfolgt ist?
38. Auf welche Weise wird die Berechtigung der Funkabfragen festgestellt?
39. Auf welche Weise wird die Berechtigung von Funkabfragen im nachhinein
kontrolliert?
40. Welche weiteren Maßnahmen bestehen bezüglich der Kontrolle der Zugriffe und zur
Unterbindung von Datenmißbrauch?
41. Besteht die Möglichkeit, daß die Betroffenen auf Verlangen über getätigte EKIS -
Abfragen informiert werden?
Wenn ja, in welchem Umfang?
Wenn nein, warum nicht?
42. Teilen Sie die Auffassung, daß die in Ihrem Ressort bestehenden
Kontrolleinrichtungen und Datensicherheitsvorschriften nicht in der Lage waren, ihre
Aufgaben zu erfüllen?
Wenn ja, welche konkreten Maßnahmen wollen Sie treffen, um die Effizienz der
Kontrolle zu verbessern und den Mißbrauch von Daten in Zukunft nach Möglichkeit
zu unterbinden?
Wenn nein, wie kommen Sie angesichts der bekanntgewordenen Vorfälle zu dieser
Einschätzung?
43. Welche sonstigen Dateien (elektronische Datenbanken und Handarchive) bestehen in
Ihrem Ressort?
44. Welche konkreten Daten sind in den diesen Dateien enthalten?
45. Trifft es zu, daß einzelne dieser sonstigen Dateien datenschutzrechtlich nicht
registriert sind?
Wenn ja, weshalb und welche Dateien betrifft dies?
46. Welche Rechtsgrundlage ist für die Aufnahme von Daten in diesen Dateien
grundsätzlich maßgebend?
47. Bei welchen Dienststellen erfolgt die Einspeicherung von Daten in diese Dateien?
48. Nach welchen Gesichtspunkten erfolgt die Auswahl der Personen1 die zur
Einspeicherung von Daten berechtigt sind?
49. Auf welche Weise wird die Richtigkeit der eingespeicherten Daten sichergestellt?
50. Trifft es zu, daß bezüglich der Löschung von bereits eingespeicherten Daten keinerlei
Richtlinien bestehen?
Wenn ja, warum nicht?
Wenn nein, welche Richtlinien gibt es?
51. Trifft es zu, daß die Betroffenen über die Einspeicherung von Daten nicht informiert
werden?
Wenn ja, warum?
Wenn nein, auf welche Weise werden sie informiert?
52. Wie beurteilen Sie den Umstand, daß die Betroffenen über die Einspeicherung von
Daten nicht informiert werden?
53. Welche Möglichkeiten stehen den Betroffenen zur Verfügung, um über
eingespeicherte Daten Auskünfte zu erlangen?
54. Besteht seitens Betroffener die Möglichkeit, die Löschung von Daten, z. B.
falsifizierter Daten, zu erwirken?
Wenn ja,
auf welche Weise?
Wenn nein, warum nicht?
55. Welche Möglichkeiten bestehen seitens Betroffener, die Richtigstellung falscher
Daten zu erwirken?
56. Wie viele Benutzer sind mit dem Zugriffsrecht auf die einzelnen dieser sonstigen
Daten ausgestattet?
57. Wie viele Benutzer sind jeweils mit dem Zugriffsrecht für die einzelnen sonstigen
Dateien ausgestattet?
58. Auf welche Weise werden die Zugriffsberechtigungen vergeben?
59. Auf welche Weise wird über den Umfang der Zugriffsberechtigungen der einzelnen
Benutzer entschieden?
60. Bei welchen Dienststellen werden die Zugriffsberechtigungen geführt?
61. Wie viele Abfragen wurden im Vorjahr bezüglich dieser Dateien getätigt?
62. Auf welche Weise erfolgt die Protokollierung der Abfragen?
63. Trifft es zu, daß die Protokollierung der Abfragen 3 Jahre lang gespeichert bleibt?
Wenn ja, weshalb wurde dieser Zeitraum gewählt?
Wenn nein, wie lange bleibt die Protokollierung gespeichert und weshalb wurde
dieser Zeitraum gewählt?
64. Trifft es zu, daß bei jeder Abfrage auf die sonstigen Dateien der Grund der Abfrage
eingegeben werden muß?
Wenn ja, welche Gründe berechtigen zu einer Abfrage?
65. Auf welche Weise erfolgt die Kontrolle der Abfrageprotokollierungen?
66. Welche Personen sind zur Kontrolle der
Abfrageprotokollierungen berechtigt?
67. Wie viele Abfragen betreffend die sonstigen Dateien der Jahre 1999 und 2000
wurden tatsächlich kontrolliert?
68. In wie vielen Fällen wurde eine mißbräuchliche Abfrage festgestellt?
69. Wurden dienstrechtliche bzw. strafrechtliche Konsequenzen bei mißbräuchlicher
Abfrage gezogen?
Wenn ja, welche und in wie vielen Fällen?
Wenn nein, warum nicht?
70. Besteht auch hinsichtlich der sonstigen Dateien die Möglichkeit von sogenannten
Funkabfragen?
Wenn ja, auf welche Weise erfolgt die Protokollierung der Funkabfragen?
71. Besteht die Möglichkeit, daß die Betroffenen auf Verlangen über getätigte Abfragen
betreffend sonstiger Dateien informiert werden?
Wenn ja, inwiefern?
Wenn nein, warum nicht?
72. Bestehen seitens der Bediensteten Ihres Ressorts Zugriffsmöglichkeiten zu
Datenbanken anderer Stellen (Sozialversicherungsträger, Finanzdienststellen,
Zollämter)?
Wenn ja, zu welchen anderen Stellen?
73. Wie viele Bedienstete Ihres Ressorts verfügen über diese Zugriffsmöglichkeiten und
welche Erwägungen sind für die Erteilung der Berechtigungen maßgebend?
74. Welche Rechtsgrundlagen sind für diese Zugriffsmöglichkeiten maßgebend?
75. Trifft es zu, daß bezüglich der Zugriffe auf Daten der Sozialversicherungsträger ein
Abkommen mit dem Hauptverband der Sozialversicherungsträger besteht?
Wenn ja,
was ist der Inhalt dieses Abkommens?
76. Ist es richtig, daß hinsichtlich derartiger Zugriffe seitens Ihres Ressorts keine
Protokollierung erfolgt?
Wenn ja, weshalb?
Wenn nein, auf weiche Weise erfolgt in diesen Fällen die Kontrolle der Zugriffe?
77. Beabsichtigen Sie, die Zugriffsmöglichkeiten Ihres Ressorts zu Datenbanken anderer
Stellen zu ändern bzw. einzuschränken?
Wenn ja, welche Änderungen sind konkret geplant?
78. Teilen Sie die Auffassung, daß die Datensicherheit auch in diesem Bereich bisher
nicht ausreichend gewährleistet ist?
Wenn ja, welche konkreten Maßnahmen beabsichtigen Sie zur Verbesserung der
Datensicherheit?
Wenn nein, warum nicht?