Im November 2015 tritt das neue Bundesmeldegesetz (BMG) in Kraft. Nach dessen § 49 Abs. 3 wird in Zukunft die Möglichkeit bestehen, sog. einfache Melderegisterauskünfte in einem automatisierten Verfahren über Onlineportale zu erteilen. Diese Portale können auch in privatrechtlicher Form (also etwa als GmbH) betrieben werden. Dann ist jedoch eine Zulassung durch die jeweilige oberste Landesbehörde erforderlich. Die Voraussetzungen einer solchen Zulassung sollen nun in einer Verordnung festgelegt werden, der sog. Portalverordnung – PortalVO (PDF). Selbstverständlich spielen hierbei auch Datenschutz und Datensicherheit eine Rolle. Immerhin handelt es sich ja um personenbezogene Daten aus den Melderegistern.

In § 2 Nr. 1 PortalVO wird festgelegt, dass ein Portal den Anfragenden (also jene Person, die Auskunft aus dem Melderegister begehrt) so registrieren können muss, dass dessen Identität festgestellt werden kann. Eine Registrierung einer eventuell anfragenden Stelle (also etwa eines Vereins oder eines Unternehmens) reicht nach der Verordnungsbegründung nicht aus. Es muss eine „die Anfragen verantwortende Person…zu registrieren“. Die Identität dieser Person muss feststellbar sein. Eine Registrierung allein mit dem Namen und einer E-Mail-Adresse wird daher wohl nicht ausreichen.

§ 3 PortalVO statuiert eine umfangreiche Protokollierungspflicht für das Portal. Aufzuzeichnen sind u.a. die Kennung des Anfragenden, die Daten, mit denen angefragt wurde und der Zeitpunkt der Anfrage. Nach § 3 Abs. 2 PortalVO muss zudem gewährleistet sein, dass die Protokolldaten mindestens (also nicht etwa maximal) 12 Monate aufbewahrt und gesichert werden. Spätestens zu Löschen sind die Daten am Ende des Kalenderjahres, das auf die Speicherung folgt. Bedeutet: Daten zu einer Anfrage am 1.1.2015 können bis zum 31.12.2016 aufbewahrt werden.

Zudem sieht § 3 Abs. 2 Nr. 3 PortalVO eine gesetzliche Zweckbindung für die Nutzung der Protokolldaten vor. Sie dürfen für Zwecke der Datenschutzkontrolle, hieraus folgender Strafverfahren und zur Sicherstellung des Portalbetriebs genutzt werden. Eine Weitergabe der Protokolldaten an Strafverfolgungsbehörden wird also erlaubt, jedoch nur, wenn sich ein Verdacht auf eine Straftat aus einer Datenschutzkontrolle ergibt. Aufgrund der im Bundesdatenschutzgesetz recht spärlich gesäten Straftatbestände (vgl. § 44 BDSG), dürfte dies also praktisch nie erlaubt sein.

§ 4 PortalVO normiert datenschutzrechtliche und datensicherheitsrechtliche Pflichten für den Portalbetreiber. So muss die Auskunft an den anfragenden Nutzer verschlüsselt erfolgen, wobei der Verschlüsselungsstandard offen gelassen wird. Auch muss der Betreiber technische und organisatorische Maßnahmen vorsehen, um den Datenschutz und die Datensicherheit zu gewährleisten. Die Verordnungsbegründung verweist u.a. auf die Vorschrift des § 9 BDSG. Der Betreiber darf außerdem die an den Anfragenden übermittelten Daten zudem nach der Weitergabe nicht in seinem System speichern. In der Praxis sollten Betreiber diesbezüglich vor allem auf automatische Backups und Datensicherungen achten, die eventuell ungewollt dennoch derartige Daten enthalten könnten.