Montag, 15. Oktober 2012

Vorstellungen und Erwartungen an die Politik in Schleswig-Holstein 2012 bis 2017

Datenschutz, Informationsfreiheit und das ULD Schleswig-Holstein – für die neue Legislaturperiode

Anfang 2012 ist das neue Landesdatenschutzgesetz Schleswig-Holstein (LDSG) in Kraft getreten. Im LDSG ist vorgesehen, dass das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) nur noch alle zwei Jahre einen Tätigkeitsbericht an den Landtag gibt. Dies hat zur Folge, dass 2012 kein Tätigkeitsbericht veröffentlicht wird. Am 06.05.2012 waren Landtagswahlen. Neue Abgeordnete sind in den Landtag eingezogen, die eine neue Regierung wählen. Die Politik – auch zum Datenschutz und zur Informationsfreiheit – wird im Lande neu festgelegt.

Dies ist Anlass für das ULD, eine aktuelle Bestandsaufnahme in Sachen Datenschutz und Informationsfreiheit für Schleswig-Holstein vorzunehmen. Diese wendet sich zunächst an die Abgeordneten des neuen Landtags, dann aber auch an die dort vertretenen Fraktionen und Parteien, an die neue Regierung und die Ministerien. Sie kann zugleich die öffentliche Debatte über Datenschutz und Informationsfreiheit in Schleswig-Holstein voranbringen. Hierzu wird auch das ULD vorgestellt. Die aktuellen Probleme werden prägnant präsentiert; mögliche Lösungen mit Handlungsmöglichkeiten der Landespolitik werden erörtert.

 

Zusammenfassung der ULD-Empfehlungen

(Die römischen Ziffern verweisen auf die jeweiligen Begründungen im folgenden Text.)

  • Es ist darauf hinzuwirken, dass bei allen Verfahren zur Verarbeitung personenbezogener Daten Datenschutzanforderungen von Anfang an berücksichtigt werden. Bei geförderten Projekten sollte dies zu den Förderbedingungen gehören (siehe II).
  • Der Finanzausschuss wird gebeten, die haushaltsrechtlich erforderliche Zustimmung zur Besetzung der im ULD-Haushalt als gesperrt ausgewiesenen Planstelle zu erteilen. Darüber hinausgehend wird der Landtag gebeten, durch realistisches Ausweisen von Einnahmen zusätzliche unbefristete Stellen zu genehmigen (siehe III).
  • Das im Februar 2011 verfasste „ULD-Konzept“ sollte in der landesweiten Diskussion zu den Themen Datenschutz und Informationsfreiheit berücksichtigt werden (siehe III).
  • Auch wenn das LDSG erst jüngst überarbeitet wurde, sollten kurzfristig weitere Verbesserungen wie die obligatorische Bestellung von Datenschutzbeauftragten geregelt werden (siehe IV).
  • Im LDSG sollte die Zuständigkeit des ULD für Ordnungswidrigkeitenverfahren bei Datenschutzverstößen gebündelt und klargestellt werden (siehe IV).
  • Durch Streichung der nur einmaligen Wiederwahlmöglichkeit bei der Besetzung der ULD-Leitung kann sich der Landtag seine personellen Optionen erweitern (siehe IV).
  • Schleswig-Holstein sollte sich dafür einsetzen, dass durch Normierungs- und Organisationsvorschläge die im Land erfolgreich praktizierten Instrumente des präventiven Datenschutzes bundesweit, z. B. im Rahmen einer Stiftung Datenschutz, etabliert werden (siehe V).
  • Die ins Stocken gekommenen Bestrebungen für ein modernes Beschäftigtendatenschutzrecht in Deutschland sollten belebt werden (siehe V).
    Kurzfristig nötig sind gesetzliche Nachbesserungen im Bereich des Internetdatenschutzes (siehe V).
  • Das Land sollte sich mit qualifizierten Meinungsäußerungen in den aktuellen europäischen Regelungsprozess zum Datenschutz einbringen (siehe VI).
  • Die E-Government-Strategien auf Bundes- und Landesebene sind unter Berücksichtigung des Datenschutzes zu koordinieren und weiterzuentwickeln (siehe VII).
  • Es besteht hoher Kooperationsbedarf unter Einbeziehung der Kommunen, des ULD und der Legislative bei der Einrichtung zentralisierter IT-Verfahren der Verwaltung, bei dem Informationssicherheitsmanagementsysteme ebenso wie Datenschutzmanagementsysteme eine wichtige Rolle spielen sollten, z. B. durch neue IT-Richtlinien (siehe VII).
  • Durch landesübergreifende und Kommunen mit einbeziehende IT-Projekte können Synergieeffekte bei Datenschutz und IT-Sicherheit erreicht werden (siehe VII).
  • Eine „Open Data“-Initiative des Landes sollte unter Berücksichtigung von Datenschutz- und Informationsfreiheitsanforderungen entwickelt und umgesetzt werden (siehe VII).
  • Es sollte eine unabhängige wissenschaftliche Evaluation schwerwiegender informationeller polizeilicher Eingriffsbefugnisse erfolgen (siehe VIII).
  • Das Polizeirecht sollte einer Überprüfung unterzogen werden, um überflüssige und überholte Regelungen zu streichen, überarbeitungsbedürftige Vorschriften anzupassen und Regelungslücken zu schließen (siehe VIII).
  • Sofern der Einsatz von Staatstrojanern stattfinden soll, muss dies geregelt werden (siehe VIII).
  • Für den Aufbau eines gemeinsamen Rechen- und Dienstleistungszentrums für Telekommunikationsüberwachung muss Rechtssicherheit hergestellt werden (siehe VIII).
  • Die Beachtung des Datenschutzes bei der Neugestaltung des nachrichtendienstlichen Informationssystems muss gewährleistet werden (siehe VIII).
    Entsprechendes gilt für polizeiliche Internetrecherchen (siehe VIII).
  • Personenbezogene Medizindaten dürfen nicht in die Hände unbefugter Dritter gelangen; die Verantwortlichkeiten müssen für den Patienten klar geregelt sein (siehe IX).
  • Die Krankenhäuser müssen angehalten werden, die Vorgaben der Orientierungshilfe für Krankenhausinformationssysteme umzusetzen (siehe IX).
  • Soweit ein klinisches Krebsregister geschaffen werden soll, müssen die Regelungen grundrechtskonform geändert werden (siehe IX).
  • Praktikable Regelungen zum vertrauenswürdigen Auslagern medizinischer Aufgabenwahrnehmung sind wünschenswert (siehe IX).
  • Das Bildungsministerium sollte die vom ULD vorgelegten Vorschläge zur Behebung der Datenschutzdefizite an Schulen systematisch abarbeiten (siehe X).
  • Der Landtag sollte seine regulatorischen und kontrollierenden Möglichkeiten nutzen, um das Recht auf informationelle Selbstbestimmung in der Finanzverwaltung des Landes durchzusetzen (siehe XI).
  • Die massiven Datenschutzdefizite beim Einsatz sozialer Medien durch die Exekutive, etwa bei der Nutzung von Fanpages und Social-Plugins von Facebook, sind abzubauen (siehe XII).
  • Die Unterstützung der ULD-Aktivitäten in diesem Bereich durch die politisch verantwortlichen Stellen in Schleswig-Holstein ist wünschenswert (siehe XII).
  • Regelwerke zum datenschutzkonformen Einsatz und zur entsprechenden Nutzung von sozialen Medien müssen erarbeitet werden (siehe XII).
 

I. Kurze Geschichte des Datenschutzes und der Informationsfreiheit in Schleswig-Holstein, Deutschland und Europa

Modernen Datenschutz gibt es in Deutschland und in Europa seit den 70er Jahren des vorigen Jahrhunderts. Das erste Bundesdatenschutzgesetz (BDSG) trat 1977 in Kraft, das erste Landesdatenschutzgesetz (LDSG) in Schleswig-Holstein folgte ein Jahr später. Über Deutschland hinaus wurde die Diskussion durch das Volkszählungsurteil des Bundesverfassungsgerichtes vom 15.12.1983 geprägt, in welchem das "Recht auf informationelle Selbstbestimmung" Grundrechtsstatus bekam. Eine erste verbindliche Regelung innerhalb der Europäischen Union (EU) erfolgte durch die europäische Datenschutz-Richtlinie aus dem Jahr 1995, die bis heute gültig ist. Das LDSG wurde mehrfach novelliert, zuletzt im Jahr 2011. Der nun gültige Gesetzestext trat Anfang 2012 in Kraft.

Im Jahr 2000 wurde die Dienststelle des Landesbeauftragten für Datenschutz (LfD) in eine unabhängige Anstalt des öffentlichen Rechts, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), umgewandelt, die vom Landesbeauftragten geleitet wird. Dies war Helmut Bäumler, der dem von 1978 bis 1992 amtierenden Ernst Eugen Becker als LfD folgte. In der ULD-Leitung folgte Thilo Weichert im Jahr 2004.

Als drittes Bundesland in Deutschland erhielt Schleswig-Holstein im Jahr 2000 ein Informationsfreiheitsgesetz (IFG); die Kontrolle der Umsetzung dieses Gesetzes, das Menschen einen Anspruch auf Zugang zu Informationen der schleswig-holsteinischen Verwaltung gewährt, wurde dem ULD übertragen. 2011 wurden ein inzwischen verabschiedetes Umweltinformationsgesetz (UIG) und das IFG zum Informationszugangsgesetz (IZG) zusammengeführt, das Anfang 2012 in Kraft trat.

Die wesentlichen gesetzlichen Grundlagen des Datenschutzes und der Informationsfreiheit in Schleswig-Holstein sind dokumentiert in der 5. Auflage der Textausgabe „Datenschutzrecht“.

 

II. Vorstellung des ULD

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat seit 2001 seinen Sitz in der Holstenstraße 98, 24103 Kiel. Gemäß den Haushaltsplänen sind für das ULD 26 Mitarbeiterstellen vorgesehen; eine Planstelle steht unter Genehmigungsvorbehalt. Tatsächlich hat das ULD derzeit 41 Mitarbeitende, teilweise in Teilzeit. Die über 25 hinausgehenden Stellen und Stellenanteile werden über eigenständige Einnahmen des ULD aus Gebühren und Entgelten (für Beratungen, aus Forschungs- und Gutachtenprojekten, für Audit- und Gütesiegelverfahren) finanziert.

Das ULD veröffentlichte bisher jährlich, ab 2013 zweijährlich einen Tätigkeitsbericht.

Das ULD ist Mitglied der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, des Düsseldorfer Kreises (Zusammenschluss der Aufsichtsbehörden zur Datenschutzkontrolle im nicht-öffentlichen Bereich) sowie in nachgeordneten Arbeitskreisen und Arbeitsgruppen. Zudem arbeitet das ULD aktiv auf europäischer Ebene mit den Datenschutzbehörden im Rahmen der Artikel 29-Datenschutzgruppe zusammen.

Das ULD erfüllt gegenüber der öffentlichen Verwaltung, der Wirtschaft und den Bürgerinnen und Bürgern insbesondere die folgenden fünf Aufgaben:

  1. Kontrolle und Sanktionen,
  2. Beratung,
  3. Aus- und Fortbildung,
  4. Durchführung von Projekten,
  5. Durchführung von Audit- und Gütesiegelverfahren.

Die präventiv ausgerichteten Aufgaben 3. bis 5. wurden mit der Novellierung des LDSG im Jahr 2000 eingeführt. Die Aufgaben werden im Folgenden näher erläutert.

1. Kontrolle und Sanktionen

Das ULD übt die Kontrolle über öffentliche Stellen des Landes sowie über Wirtschaftsunternehmen in Schleswig-Holstein aus. Kontrollen können anlasslos oder nach entsprechenden Hinweisen und Eingaben von Bürgerinnen und Bürgern erfolgen. Im öffentlichen Bereich kann das ULD lediglich rechtlich nicht zwingende Beanstandungen aussprechen. Im nicht-öffentlichen (privaten) Bereich können Bußgeldverfahren durchgeführt und Verfügungen (Verwaltungsakte) zur Durchsetzung des Datenschutzrechts erlassen werden.

2. Beratung

Das ULD berät öffentliche Stellen, das Parlament und die Regierung, die Bürgerinnen und Bürger sowie Wirtschaftsunternehmen. Bei den Letztgenannten kann für die Beratung eine Gebühr erhoben werden. Zur Beratung der Öffentlichkeit gehören Printveröffentlichungen und eine eigene Webseite.

Außerdem obliegt dem ULD die Geschäftsführung des Virtuellen Datenschutzbüros, das gemeinsame Internetportal der deutschsprachigen Datenschutzbehörden.

3. Aus- und Fortbildung

Gemeinsam mit dem in Leck/Nordfriesland beheimateten Deutschen Grenzverein betreibt das ULD seit 1993 die DATENSCHUTZAKADEMIE Schleswig-Holstein und bietet hierüber sowie auch in Kooperation mit anderen Trägern Angebote der Aus- und Fortbildung in den Bereichen Datenschutz und Informationsfreiheit an.

Jährlicher Höhepunkt ist die Sommerakademie, die jeweils am letzten Montag im August stattfindet und in der aktuelle Themen des Datenschutzes kontrovers diskutiert werden.

4. Durchführung von Projekten

Seit Ende der 90er Jahre beteiligt sich das ULD an rechtlichen und technischen Forschungsprojekten, teilweise in Kooperation mit anderen nationalen und europäischen Partnern, insbesondere aus der Wissenschaft und der Wirtschaft. Die Finanzierung erfolgt für das Land haushaltsneutral insbesondere durch die Europäische Union und durch Bundesministerien. Themen derartiger Projekte waren unter anderem Ambient Assisted Living, Biometrie, Digital Rights Management, Forschungsbiobanken, Identitätenmanagement, RFID, Scoring und Verbraucherdatenschutz. Derzeit engagiert sich das ULD in Forschungsprojekten zu folgenden Themen:

  • Auskunftserteilung an Betroffene,
  • vertrauenswürdiges Cloud Computing,
  • datenschutzgerechte Credentials (Berechtigungsnachweise) und eID-Systeme,
  • dreidimensionale Gesichtserkennung,
  • Internetsicherheit und
  • Datenschutz bei Überwachungstechnik.
  • https://www.datenschutzzentrum.de/projekte/

Datenschutzanforderungen sollten bei jeder Entwicklung und Gestaltung von Technik und Verfahren von Anfang an berücksichtigt werden („Privacy by Design“). Das ULD beschäftigt sich seit vielen Jahren mit diesem Vorgehen, u. a. durch seine Tätigkeiten für den Systemdatenschutz in der schleswig-holsteinischen Verwaltung und in den hiesigen Unternehmen, bei seiner Zertifizierung und Auditierung sowie in den Forschungsprojekten. Das ULD stellt seine Expertise, etwa zu neuartigen Ansätzen für mehr Datenschutz, den Stellen im Land zur Verfügung. Dies betrifft nicht nur den Technikbereich, sondern auch den rechtlichen Rahmen als Umfeld für den Technikeinsatz.

Das ULD bittet den Landtag, darauf hinzuwirken, dass bei allen Verfahren zur Verarbeitung personenbezogener Daten Datenschutzanforderungen von Anfang an berücksichtigt werden. Bei geförderten Projekten sollte dies zu den Förderbedingungen gehören.

5. Durchführung von Audit- und Gütesiegelverfahren

Seit der Novellierung des LDSG im Jahr 2000 ist vorgesehen, dass das ULD an datenschutzkonforme IT-Produkte und Dienstleistungen in einem formalisierten qualifizierten Verfahren Gütesiegel vergeben sowie IT-Verfahren und Organisationsteile auditieren kann (Datenschutz-Gütesiegel Schleswig-Holstein, Datenschutzaudit). Die Idee dieser Zertifizierungsverfahren ist es, durch Vorbild und positive Anreize im Wettbewerb das praktizierte Datenschutzniveau zu erhöhen. Durch die Europäische Kommission gefördert, entwickelte das ULD seit 2007 das Europäische Datenschutzgütesiegel (European Privacy Seal – EuroPriSe). Dieses bestätigt in einem formellen transparenten Verfahren die Konformität mit europäischem Datenschutzrecht. Gütesiegel und EuroPriSe basieren auf einem zweistufigen Modell, bei dem zunächst unabhängige Sachverständige ein Produkt untersuchen und das ULD als Zertifizierungsstelle die Qualitätssicherung durchführt. Für EuroPriSe werden Gutachter aus aller Welt in Schleswig-Holstein ausgebildet und geprüft. Das ULD ist derzeit (noch) die einzige Datenschutzbehörde, die in nennenswertem Umfang solche anerkannten Zertifizierungsverfahren durchführt, und setzt damit in diesem Bereich europaweit Standards. Europa und weltweit werben inzwischen Firmen mit Datenschutz „made in Schleswig-Holstein“.

 

III. Die Dienststelle des ULD

Die Landesausgaben für das ULD bewegen sich seit über 10 Jahren stabil um einen Betrag von ca. 1,9 Mio. Euro pro Jahr. Über Projektfördergelder, Gebühren und Entgelte (für Beratungen, aus Forschungs- und Gutachtenprojekten, für Audit- und Gütesiegelverfahren) ist es dem ULD möglich, über die gemäß Haushalt besetzbaren 25 Stellen hinaus derzeit weitere 16 Mitarbeitende in Voll- oder Teilzeit zu finanzieren. Die Einnahmen ermöglichen inzwischen hinreichende Planungssicherheit. Die bisher bestehenden haushaltsrechtlichen Restriktionen lassen seit Jahren nur den Abschluss befristeter Arbeitsverträge zu. Dies führt bei den Betroffenen zu einer für die Aufgabenerfüllung nicht förderlichen Arbeitsplatzunsicherheit sowie zu Beschränkungen bei der beruflichen Entwicklung. Die Besetzung einer seit Jahren im Haushalt als gesperrt ausgewiesenen Planstelle der BesGr. A13 LG2.1 steht unter Zustimmungsvorbehalt des Finanzausschusses des Landtags.

Das ULD bittet den Finanzausschuss, die haushaltsrechtlich erforderliche Zustimmung zur Besetzung der im Haushalt als gesperrt ausgewiesenen Planstelle der BesGr. A13 LG2.1 zu erteilen. Darüber hinausgehend bittet es den Landtag, durch realistisches Ausweisen von Einnahmen zusätzliche unbefristete Stellen zu genehmigen.

Im Februar 2011 stellte das ULD ein umfassendes „Konzept des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD-Konzept)“ fertig und übergab es an die damaligen Landtagsfraktionen sowie an Ministerien. Ziel des Konzeptes ist es, nach einer Bestandsaufnahme der Rahmenbedingungen für Datenschutzes und Informationsfreiheit im Land unter Berücksichtigung der angespannten Finanzsituation des Landes strategische Ziele zu entwickeln und daraus Maßnahmen abzuleiten, um diese Ziele zu erreichen.

Das Angebot des ULD, mit den politisch Verantwortlichen im Land über das Konzept in einen Diskurs einzutreten, wurde bisher nur begrenzt angenommen. Dieses Angebot besteht weiter. Eine politische Unterstützung des Konzeptes würde die inhaltliche Auseinandersetzung zu den Themen im Interesse des Datenschutzes und der Informationsfreiheit im Land stärken.

Das ULD bittet die politischen Verantwortlichen im Land, das ULD-Konzept kritisch zu lesen und hierzu Rückmeldungen an das ULD zu geben, um die angesprochenen Fragen gemeinsam einer politischen Klärung zuzuführen.

 

IV. Landesgesetzgebung

Das LDSG wurde durch zwei Novellen im Jahr 2011 auf einen modernen Stand gebracht. Weiterhin bestehen einige Verbesserungs- und Klarstellungsbedürfnisse.

Anlässlich der Datenschutzprüfung von sozialen Netzwerken wurde infrage stellt, ob dem ULD die gesetzliche Befugnis zusteht, Ordnungswidrigkeitenverfahren wegen Datenschutzverletzungen nach dem Telemediengesetz (TMG) durchzuführen. Weiterhin ist bisher die Zuständigkeit als Ordnungswidrigkeitenbehörde nach dem LDSG sowie dem Sozialgesetzbuch X gesetzlich nicht geregelt.

Das ULD schlägt vor, in einer Regelung im LDSG die Zuständigkeit des ULD für Ordnungswidrigkeitenverfahren bei Datenschutzverstößen zu bündeln und klarzustellen.

Bisher sieht § 35 Abs. 1 S. 2 LDSG vor, dass die Leitung des ULD nur einmal wiedergewählt werden kann. Dies hat zur Folge, dass die Amtszeit des derzeitigen Amtsinhabers am 31.08.2014 beendet ist. Damit ist bisher der Weg zu einer personellen Kontinuität verbaut. In vielen anderen Bundesländern wird die Wiederwahlmöglichkeit des LfD nicht eingeschränkt. Vergleichbare Beschränkungen bei Wahlämtern kennt das Landesrecht nicht. Das Ziel der Begrenzung, die Wahrung der Unabhängigkeit des Amtsinhabers, ist hinreichend durch weitere Vorkehrungen gewährleistet.

Das ULD trägt dem Landtag an zu prüfen, ob er sich durch Streichung der nur einmaligen Wiederwahlmöglichkeit bei der Besetzung der ULD-Leitung die personellen Optionen erweitert.

Um die öffentliche Verwaltung auf die zukünftigen Aufgaben und E-Government-Verfahren vorzubereiten, ist es dringend ratsam, dass jede Behörde einen Datenschutzbeauftragten bestellt. Wegen der bestehenden fakultativen Regelung haben bisher alle Ministerien des Landes auf die Bestellung eines solchen Beauftragten verzichtet. Nur mit einer solchen Funktion ist es möglich, innerhalb der öffentlichen Verwaltung effektiv Datenschutzkonformität herzustellen.

Auch wenn das LDSG erst jüngst überarbeitet wurde, sollten kurzfristig weitere Verbesserungsmaßnahmen wie die obligatorische Bestellung eines behördlichen Datenschutzbeauftragten eingeführt werden. Das ULD steht für Vorschläge gerne zur Verfügung.

Insbesondere zum Ende der 17. Legislaturperiode sind Gesetzesvorhaben auf den Weg gebracht und umgesetzt worden, ohne dass das ULD hinreichend beteiligt wurde. Dies kann dazu führen, dass wesentliche verfassungsrechtliche, einfachgesetzliche, technisch-organisatorische oder sonstige praktische Aspekte unberücksichtigt bleiben.

Das ULD erwartet, dass es gemäß seinem gesetzlichen Beratungsauftrag bei der Erarbeitung und Diskussion sämtlicher datenschutzrelevanter Regelungen auf Landesebene frühzeitig und umfassend beteiligt wird.

 

V. Bundesgesetzgebung

Das Bundesdatenschutzgesetz (BDSG) wurde im Jahr 2009 durch drei Novellen überarbeitet. Weiterer Überarbeitungsbedarf besteht, was parteipolitisch unbestritten ist, u. a. hinsichtlich der Aufnahme von Regelungen zum Beschäftigtendatenschutz und zur Einführung eines bundesweiten Auditverfahrens.

Unter anderem für die Einführung bundesweiter Datenschutzzertifizierungen wurden im Bundeshaushalt im Jahr 2011 durch Zuweisung von 10 Mio. Euro Gelder für die Einrichtung einer Stiftung Datenschutz vorgesehen. Die Tätigkeit einer geplanten künftigen Stiftung Datenschutz weist große Schnittmengen zu den Aktivitäten des ULD auf Landesebene in den Bereichen Bildung, Durchführung von Projekten, Öffentlichkeitsarbeit und Zertifizierung auf. Mit Schreiben vom 27.10.2011 wandte sich das ULD an den Bundesinnenminister Friedrich mit dem Vorschlag, dass das ULD angesichts der hier vorhandenen Kompetenz die Aufgabe zum Aufbau der geplanten Stiftung übernehmen könne. Der Bundesinnenminister reagiert auf diesen Vorschlag nicht. Vielmehr wurden Vorschläge bekannt, die die grundsätzlich begrüßenswerte Idee der Stiftung Datenschutz ad absurdum führen.

Das Land Schleswig-Holstein sollte sich dafür einsetzen, dass durch Normierungs- und Organisationsvorschläge die im Land erfolgreich praktizierten Instrumente des präventiven Datenschutzes bundesweit etabliert werden.

Im Bundestag liegen mehrere Initiativen zum gesetzlichen Beschäftigtendatenschutz vor, die jedoch, soweit ersichtlich, derzeit nicht weiter aktiv verfolgt werden. Die Planungen zu einem europäischen Datenschutzrecht sehen explizit vor, diesen Bereich national zu regeln. Durch ein modernes Beschäftigtendatenschutzrecht könnte Deutschland für weitere EU-Mitgliedstaaten Vorbildwirkung entfalten.

Durch eine Bundesratsinitiative sowie weitere bundespolitische Aktivitäten kann das Land Schleswig-Holstein die ins Stocken gekommenen Bestrebungen für ein modernes Beschäftigtendatenschutzrecht in Deutschland neu beleben.

Hinsichtlich der Regulierung des Datenschutzes im Internet bestehen auf nationaler Ebene massive Defizite. Hierauf hat das ULD mit einem eigenen Gesetzesvorschlag im Oktober 2010 hingewiesen.

Diese Vorschläge wurden bislang nicht aufgegriffen. Die vom Bundesinnenministerium verfolgte Idee eines „Rote-Linie-Gesetzes“ war nicht zielführend und wird offensichtlich auf Bundesebene nicht weiterverfolgt. Eine im Grunde sehr zu begrüßende Initiative des Bundesrates zur Novellierung des Telemediengesetzes, bei der u. a. auch die überfällige Umsetzung der Cookie-Regelung in Art. 5 Abs. 3 E-Privacy-Richtlinie vorgenommen werden soll (vom 03.08.2011, BT-Drs. 17/6765, vgl. auch Gesetzentwurf der SPD-Fraktion vom 24.01.2012, BT-Drs. 17/8454), wird ebenfalls nicht vorangetrieben. Das Ziel der Bundesratsinitiative ist es weiterhin, die Transparenz für die Internetnutzenden zu erhöhen sowie deren Möglichkeit, ihre Rechte wahrzunehmen (z. B. Löschung von Nutzungskonten), zu verbessern.

Zwar liegt seit dem 25.01.2012 ein von der Europäischen Kommission vorgelegter Entwurf einer direkt anwendbaren europäischen Datenschutz-Grundverordnung vor, der das Ziel verfolgt, eine europaweite einheitliche Datenschutzregelung insbesondere im Hinblick auf das Internet vorzunehmen. Da jedoch dieses Regelungsziel nicht kurzfristig realisiert erreicht werden kann, ist es dringend nötig, zur aktuellen Gewährleistung der Datenschutzanforderungen im Internet nationale Regeln zu erlassen. Da die Bundesregierung insofern alle wesentlichen Aktivitäten eingestellt zu haben scheint, sind Initiativen aus den Bundesländern nötig.

Das ULD bittet das Land, im Rahmen der Bundesratsbeteiligung sowie auf sonstigem Wege darauf hinzuwirken, dass kurzfristig dringend nötige gesetzliche Nachbesserungen im Bereich des Internetdatenschutzes erfolgen.

VI. Europäische Regulierung

Im Januar 2012 stellte die Europäische Kommission ihre Vorschläge für eine europäische Datenschutz-Grundverordnung

sowie für eine Datenschutzrichtlinie in den Bereichen Polizei und Justiz vor.

Die Diskussion über diese Initiativen wird über Europa hinausgehend die Datenschutzdiskussion in absehbarer Zeit bestimmen. Der Landtag von Schleswig-Holstein hat mit Beschluss vom 23.03.2012 Subsidiaritätsbedenken geäußert und damit sein Interesse an einer intensiven Beteiligung an der weiteren Diskussion signalisiert. Mit Beschluss vom 27.04.2012 hat der Landtag zudem seine grundsätzlich inhaltliche Unterstützung für die europäischen Regulierungsbemühungen zum Ausdruck gebracht. Die Überarbeitung des europäischen Regelungsrahmens für Datenschutz wird starke Auswirkungen auf das Land haben – sowohl im öffentlichen als auch nicht-öffentlichen Bereich.

Anders als der noch vor Inkrafttreten des Vertrags von Lissabon verabschiedete Rahmenbeschluss 2008/977/JI über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, soll die künftige Datenschutzrichtlinie auch für die innerstaatliche Datenverarbeitung gelten. Dieser Ansatz ist grundsätzlich der richtige Weg, um ein einheitliches hohes Datenschutzniveau in Europa zu erreichen. Die Vereinheitlichung des Datenschutzniveaus darf aber nationale Regelungen nicht ausschließen, die einen höheren Schutz gewährleisten, wie z. B. den im deutschen Recht gewährleisteten Schutz des Kernbereichs privater Lebensgestaltung oder die Eingriffsschwellen bei verdeckten Überwachungsmaßnahmen. Die Richtlinie sollte daher, anders als der von der Kommission vorgelegte Entwurf, lediglich Mindeststandards vorsehen.

Das Land sollte sich mit qualifizierten Meinungsäußerungen in den europäischen Regelungsprozess insbesondere bezüglich der Datenschutz-Grundverordnung, der Datenschutzrichtlinie im Bereich Polizei und Justiz sowie einer anstehenden Novellierung im Bereich Telekommunikation und Medien einbringen.

VII. E-Government

Im Januar 2012 wurde ein Vorschlag für ein E-Government-Gesetz des Bundes vorgelegt. Dieses Gesetz soll den wesentlichen Rahmen für E-Government-Anwendungen des Bundes schaffen und technische und juristische Rahmenbedingungen aufzeigen. In den Ländern soll dieses Gesetz Anwendung finden für alle diejenigen Behörden, die in Bundesauftragsverwaltung Aufgaben des Bundes wahrnehmen. Im Ergebnis sind daher mindestens in den obersten Landesbehörden die Vorgaben dieses Gesetzes umzusetzen.

Das E-Government-Gesetz des Landes Schleswig-Holstein regelt vollkommen andere Sachverhalte. Aufgabe des Landesgesetzgebers wird sein, die Vereinbarkeit der E-Government-Strategien auf Bundes- und Landesebene anzugleichen und die Einführung der neuen Verfahren sowie die Umsetzung der nationalen E-Government-Strategie des IT-Planungsrates zu begleiten. Etwa in Bezug auf die E-Akte werden in großem Maße personenbezogene Daten der Bürgerinnen und Bürger des Landes betroffen sein. Eine zentral geplante und gesteuerte E-Government-Infrastruktur des Landes kann den steigenden Anforderungen an eine automatisierte Verarbeitung mit einem stärkeren Datenaustausch genügen und als Nachweis eines beherrschten Betriebs dienen.

Das neue LDSG gibt mit der Möglichkeit der Einrichtung zentraler Stellen für einzelne landesweite Verfahren Raum für neue datenschutzrechtlich zulässig auszugestaltende Verfahren. Dies macht eine Abstimmung aller Beteiligten und eine kooperative normative Festlegung der jeweiligen Verfahren nötig, wobei der Beachtung von Datenschutzfragen (z. B. im Rahmen der Vorabkontrolle durch das ULD) eine wichtige Rolle zugemessen werden muss.

Alle Stellen im Land unter Einbeziehung der Kommunen, des ULD und der Legislative müssen bei der Einrichtung zentralisierter IT-Verfahren der Verwaltung im Interesse der Funktionalität, der Wirtschaftlichkeit und des Datenschutzes eng zusammenarbeiten.

Das ULD hat in den vergangenen Jahren sein Beratungsangebot zu Fragen des technischen Datenschutzes und der IT-Sicherheit stark ausgebaut. Das ULD ist beratend in vielen Verfahren der Landesverwaltung und im kommunalen Umfeld tätig. Im Rahmen dieser Beratungstätigkeit stellt das ULD immer wieder Defizite bei technischem Datenschutz und IT-Sicherheit sowie bei der einheitlichen Steuerung von IT-Projekten der Landesverwaltung fest. Es ist notwendig, dass die Landesregierung einheitliche Vorgaben zur Durchführung von IT-Projekten erlässt, die neben Untersuchungen und Kontrollen der Wirtschaftlichkeit eine projektbegleitende, frühzeitige und dauerhafte Überprüfung auf Rechtmäßigkeit und Ordnungsmäßigkeit der Systemgestaltung und der Datenverarbeitung sicherstellen. Diese regelmäßige Befassung sollte durch eine zentrale Stelle innerhalb der Landesverwaltung erfolgen, die die bisherigen Aufgaben des zentralen IT-Managements der Landesverwaltung bündelt, fortführt und deutlich erweitert.

Die Landesregierung sollte die aktuell gültigen, veralteten und nicht hinreichenden IT-Richtlinien des Landes überarbeiten und deutlich erweitern. Das aktuelle Informationssicherheitsmanagement der Landesregierung ist auszubauen; eine Beteiligung und Kontrolle aller IT-Projekte der Landesregierung durch dieses Gremium ist sicherzustellen. Dabei wäre es hilfreich, wenn die Aufgaben der IT-Steuerung und des IT-Projektmanagements personell und organisatorisch stärker gebündelt würden. Sowohl Informationssicherheitsmanagementsysteme (ISMS) als auch Datenschutzmanagementsysteme sollten bei allen Verfahren eine wesentliche Rolle spielen.

Wegen des Sparzwangs und der gleichzeitigen Notwendigkeit für mehr automatisierte Verfahren muss die Landesregierung stärker als bisher kooperative Projekt- und Betriebsmodelle vorantreiben, sowohl auf Bundesebene (vgl. Art 91c GG) als auch auf Ebene der „Küstenländer“. Einzelne IT-Verfahren sind bereits unter Nutzung des zentralen Dienstleisters Dataport und unter Beteiligung des ULD zentralisiert worden (z. B. Data Center Steuern), andere sind in der Planung und Umsetzung (z. B. KoPers). Die Kooperation führt zu einer gleichartigen IT-Infrastruktur, gleichartigen IT-Prozessen und einem gleichartigen Niveau an Datenschutz und IT-Sicherheit.

Die Kooperation zwischen Land und Kommunen sollte ausgeweitet werden. Die aus Sicht des ULD unzureichende E-Government-Vereinbarung zwischen Land und Kommunen und die Vorgaben des E-Government-Gesetzes des Landes wurden bisher nicht umgesetzt. Die bisherigen Prozesse zur übergreifenden Steuerung der IT-Infrastruktur des Landes Schleswig-Holstein unter Beteiligung der Kommunen sind nicht geeignet, eine aus Haushaltssicht gebotene Konsolidierung der Informations- und Kommunikationstechnik unter Beibehaltung eines angemessenen Niveaus von Datenschutz und IT-Sicherheit zu gewährleisten.

Die Informations- und Kommunikationstechnik der Landesverwaltung ist bereits in wesentlichen technischen Aspekten standardisiert. Die Standardisierung sollte weiter vorangetrieben werden und darf nicht nur die eingesetzte Technik umfassen. Auch die Betreibermodelle und die administrativen Tätigkeiten sind stärker zu standardisieren und zu koordinieren. Der noch vorhandene, dezentrale IT-Betrieb innerhalb der Landesverwaltung sollte weiter konsolidiert werden.

Die Landesregierung sollte ein Projekt zur Zentralisierung der noch vorhandenen, dezentralen Bürokommunikation der Landesverwaltung ein zentrales Betriebsmodell aufsetzen. Sie sollte die länderübergreifende Kooperation in Fragen des IT-Betriebs unter Verwendung des Mehr-Länder-Dienstleisters Dataport vorantreiben, die Kooperation zwischen Land und Kommunen verstärken und Projekte zum Aufbau einer landesweiten, gemeinsamen IT-Infrastruktur des Landes und der Kommunen initiieren.

Für bereichsübergreifende, automatisierte Prozesse zur Verarbeitung personenbezogener Daten werden Schnittstellen immer noch im Einzelfall entwickelt. Durch die fehlende Vorgabe einer IT-Architektur der Landesverwaltung ist eine koordinierte Weiterentwicklung der verschiedenen Fachverfahren nicht sichergestellt. Der notwendige Prüfumfang zum Gewährleisten eines angemessenen Niveaus an Datenschutz und IT-Sicherheit wird dadurch unnötig erweitert. Eine Vereinheitlichung der Zugriffswege, eine Erhöhung der Datenqualität und eine bessere Kontrolle der Nutzung von Daten benötigt eine standardisierte, zentralisierte Infrastruktur.

Die Landesregierung sollte den Aufbau einer E-Government-Infrastruktur des Landes als Basis für alle Verwaltungsverfahren vorantreiben.

Die Transparenz der öffentlichen Verwaltung und die Partizipationsmöglichkeiten der einzelnen Bürgerinnen und Bürger unter Einbeziehung moderner Informationstechnik ist in Schleswig-Holstein, etwa im Vergleich zu anderen Bundesländern wie Berlin und Bremen, noch stark entwicklungsbedürftig und entwicklungsfähig. Der Trend zur generellen Veröffentlichung von Verwaltungsdaten basiert teilweise auf europarechtlichen Vorgaben (z. B. INSPIRE). Das ULD unterstützt diese Prozesse zur zentralen Veröffentlichung von Verwaltungsdaten unter Berücksichtigung der rechtlichen Anforderungen von Datenschutz und Informationsfreiheit. Derzeit gibt es innerhalb der Landesverwaltung verschiedene Vorgehensweisen zur Veröffentlichung von Verwaltungsdaten ohne zentrale Koordination und Steuerung. Die verwendete IT-Infrastruktur ist nicht standardisiert und wird eher fallbezogen hergestellt. Die nötige Entwicklung kann koordiniert in einer landesweiten einheitlichen „Open Data“-Initiative vorangebracht werden.

Das Land sollte die unterschiedlichen Initiativen der Landesverwaltung zur Veröffentlichung von Daten konsolidieren und intensivieren. Hierzu sollte ein zentraler, landesübergreifend abgestimmter Ansatz für Open Data und Open Government mit zentral vereinheitlichter Zuständigkeit gewählt werden.

VIII. Öffentliche Sicherheit und Datenschutz

Die Regelungen im Landesverwaltungsgesetz über die Datenverarbeitung durch die Polizei müssen gründlich überholt werden. Dabei genügt es nicht, sich auf die durch den Rahmenbeschluss 2008/977/JI über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, nötigen Änderungen zu beschränken. Die im Jahr 2007 vorgenommenen umfangreichen Änderungen im Polizeirecht des Landes sollten sorgfältig evaluiert werden. Das Gesetz muss bereinigt werden; Vorschriften wie § 184 Abs. 5 zur automatisierten Kennzeichenerfassung und § 185a Abs. 2, der auf die nichtige Regelung zur Vorratsdatenspeicherung verweist, sind durch zwischenzeitlich ergangene Entscheidungen des Bundesverfassungsgerichts überholt und daher zu streichen oder zu ändern.

Zum Schutz der öffentlichen Sicherheit wurden in den vergangenen Jahren in Schleswig-Holstein, auf Bundesebene und in der EU zahlreiche neue Befugnisse für die Sicherheitsbehörden geschaffen, die mit teilweise gravierenden Grundrechtseingriffen für die Betroffenen verbunden sind. Es ist an der Zeit, zu den neuen Gesetzen eine gründliche Evaluierung vorzunehmen und ihren tatsächlichen Nutzen ins Verhältnis zu den damit einhergehenden Grundrechtseingriffen zu setzen. Dabei sind die Maßnahmen nicht nur jeweils für sich selbst zu betrachten, sondern es ist – wie es das Bundesverfassungsgericht in der Entscheidung über die Vorratsdatenspeicherung für Datensammlungen gefordert hat – eine Gesamtbetrachtung aller Maßnahmen und der daraus entstehenden Gesamtbelastung für die Bürgerinnen und Bürger vorzunehmen.

Die zuständigen Behörden sollten eine unabhängige wissenschaftliche Evaluation schwerwiegender informationelle polizeilicher Eingriffsbefugnisse vornehmen und das Ergebnis dem Landtag für dessen weitere Berücksichtigung mitteilen.

Für Sicherheitsüberprüfungen bei Großveranstaltungen existiert keine rechtliche Befugnis. Neben den gesetzlich vorgesehenen Sicherheitsüberprüfungen u. a. nach dem Sicherheitsüberprüfungsgesetz und dem Luftsicherheitsgesetz gibt es weitere Anlässe, die aus polizeilicher Sicht eine Überprüfung der beteiligten Personen auf Sicherheitsrisiken erfordern. Eine Einwilligung der Betroffenen scheidet meist aufgrund fehlender Freiwilligkeit aus. Das ULD musste Sicherheitsüberprüfungen ohne gesetzliche Grundlage mehrfach beanstanden. Die Polizei hält jedoch an der Praxis weiterhin fest. Besteht wirklich ein fachlicher Bedarf, dann sollte eine verhältnismäßige gesetzliche Grundlage geschaffen werden, die einen Ausgleich der beiderseitig betroffenen Interessen herbeiführt und sowohl für die Polizei als auch die betroffenen Bürgerinnen und Bürger die notwendige Rechtssicherheit und -klarheit verschafft.

Der Landtag sollte das Polizeirecht überprüfen, überflüssige und überholte Regelungen streichen, überarbeitungsbedürftige Vorschriften anpassen und Regelungslücken schließen.

Eine Telekommunikationsüberwachung an der Quelle durch Aufbringen von Schadsoftware auf das Zielsystem, populär Staatstrojaner genannt, ist nach Ansicht des ULD nicht vom geltenden Recht gedeckt. Es bedarf hierfür einer speziellen gesetzlichen Grundlage sowohl für den Einsatz der Quellen-Telekommunikationsüberwachung zu Zwecken der Strafverfolgung als auch – falls dies erforderlich ist – für ihre Nutzung zur Gefahrenabwehr.

Der Landtag sollte prüfen, inwieweit er Staatstrojaner für notwendig ansieht und gesetzlich erlauben will.

Nach einem Beschluss der Innenminister der fünf norddeutschen Küstenländer soll zum Jahr 2016 ein gemeinsames Rechen- und Dienstleistungszentrum für die Telekommunikationsüberwachung mit Standorten in Hamburg und Hannover errichtet werden. Die Datenschutzbeauftragten der Länder sind von Beginn an über das Projekt informiert und bestrebt, konstruktiv an der Errichtung mitzuwirken, um eine datenschutzkonforme und sichere Lösung zu erzielen. Von grundlegender Bedeutung ist die Rechtsgrundlage für die Errichtung des Zentrums. Aus unserer Sicht sollte dies ein Staatsvertrag sein, um größtmögliche Rechtssicherheit zu erreichen und die Beteiligung der Parlamente sicherzustellen.

Der Landtag sollte sich dafür einsetzen, dass das Projekt rechtssicher realisiert wird.

Das nachrichtendienstliche Informationssystem NADIS wird grundlegend erneuert. In naher Zukunft soll es als umfassendes Wissensnetz in der Lage sein, nicht nur wie bisher Hinweise über Akten zu speichern, die bei den Verfassungsschutzbehörden vorhanden sind. Das neue NADIS-WN (Wissensnetz) ist so angelegt, dass auch so genannte Ursprungsdokumente, wie Text-, Ton- oder Videodateien, darin gespeichert und über eine Volltextsuche erschlossen werden können. Die Speicherung solcher Dokumente würde einen Paradigmenwechsel bedeuten. Bislang dürfen Sicherheitsbehörden nur ausgewählte personenbezogene Daten in strukturierten Datenbanken speichern. Ursprungsdokumente hingegen können weitaus mehr Informationen enthalten, als dies im Gesetz und den danach ausgerichteten Datenbanken vorgesehen ist. Insbesondere können die Dokumente Informationen über Personen enthalten, die nicht als Zielperson beobachtet werden, sondern nur eine beiläufige Rolle spielen. Eine recherchefähige Speicherung solcher Dokumente in NADIS kann auch diese Personen bundesweit für die Verfassungsschutzbehörden sichtbar werden lassen.

Das Land sollte sich bei der Einführung von NADIS-neu eng an den gesetzlichen Vorgaben orientieren und die Speicherung von Daten sowie die Recherchemöglichkeiten restriktiv gestalten.

Die polizeiliche Nutzung neuer Medien, insbesondere sozialer Netzwerke im Internet, wirft eine Vielzahl neuer Rechtsfragen auf. Das Beispiel der Facebook-Fahndung zeigt, dass durch die Einbindung privater Anbieter wie Facebook die Herrschaft der Polizei über die eingestellten Fahndungsdaten verloren gehen kann. Da Facebook das Nutzungsverhalten seiner Nutzer registriert und auswertet, wird zudem durch die Öffentlichkeitsfahndung bei Facebook automatisch die Analyse der Nutzungsdaten ausgelöst. Für den eigentlichen Zweck der Öffentlichkeitsfahndung ist dies nicht erforderlich. Soweit für die Öffentlichkeitsfahndung auf die Einbindung privater Anbieter nicht verzichtet werden kann, müssen die Rahmenbedingungen dafür geschaffen werden, dass die Polizei ihre Verantwortung für die Einhaltung des nationalen Datenschutzrechts tatsächlich wahrnehmen kann.

Mittels Internetrecherchen versucht die Polizei, Informationen über Straftaten und Beschuldigte oder über Gefahren und die dafür verantwortlichen Personen zu sammeln. Soweit dazu die Nutzenden besonders schützende Bereiche unter Täuschung über die Polizeiidentität durchsucht werden, handelt es sich um schwerwiegende Grundrechtseingriffe. Hierfür bedarf es einer bereichsspezifischen Befugnis. Ob die bestehenden Regelungen über Telekommunikationsüberwachung oder den Einsatz verdeckter Ermittler für diese Zwecke passend sind, ist fraglich.

Die politisch Verantwortlichen im Land sollten sich mit diesen Themen befassen und dabei prüfen, ob die bestehenden landes- und bundesrechtlichen Regelungen den praktischen Bedürfnissen und dem notwendigen Schutz informationeller Selbstbestimmung genügen.

IX. Soziales und Gesundheit

Der Umgang mit personenbezogenen Medizindaten ist in den letzten Jahren an vielen Stellen nicht mit ausreichender Sensibilität gehandhabt worden. So sollten beispielsweise Hausärztinnen und Hausärzte im Rahmen der Hausärztlichen Versorgung zu einer Datenverarbeitung verpflichtet werden, bei der diese keine Hoheit mehr über ihre eigenen Daten bzw. diejenigen ihrer Patientinnen und Patienten hätten. Den Hausärzten wurde ein System vorgegeben, das aus dem eigenen Praxissystem selbstständig personenbezogene Patientendaten hätte „abziehen“ und an einen Dritten übermitteln können. Diese Datenverarbeitung hat das ULD untersagt, was vom Verwaltungsgericht und vom Oberverwaltungsgericht in Schleswig bestätigt wurde.

Alle Beteiligten im Land müssen dafür Sorge tragen, dass personenbezogene Medizindaten nicht in Hände unbefugter Dritter gelangen können und die Verantwortlichkeiten für die Patientinnen und Patienten sowie ihre Daten klar geregelt sind.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat unter Einbeziehung der betroffenen Stellen eine Orientierungshilfe für Datenschutz bei Krankenhausinformationssystemen erarbeitet, in der die rechtlichen Anforderungen an den Schutz von Medizindaten technisch-organisatorisch konkretisiert und ihre praxistaugliche Umsetzung dargestellt werden.

Eingaben von Patientinnen und Patienten sowie Prüfungen des ULD haben ergeben, dass bei dem Einsatz von Krankenhausinformationssystemen den Anforderungen oft selbst hinsichtlich grundlegender Fragen noch nicht entsprochen wird. Dies gilt sowohl für Krankenhäuser in privater als auch in öffentlich-rechtlicher Trägerschaft.

Die Krankenhäuser müssen angehalten werden, die Vorgaben der Orientierungshilfe umzusetzen und hierbei die erforderlichen technischen und organisatorischen Änderungen vorzunehmen.

Das Land Schleswig-Holstein versucht seit mehreren Jahren, neben dem epidemiologischen Krebsregister auch ein umfangreiches klinisches Krebsregister aufzubauen. Für die Übermittlung der personenbezogenen Patientendaten fehlt eine gesetzliche Grundlage.

Soweit ein politischer Wille zur Schaffung eines klinischen Krebsregisters besteht, sind die Regelungen, etwa im Landeskrebsregistergesetz, grundrechtskonform und für alle Patientinnen und Patienten rechtssicher zu ändern.

Im Gesundheitsbereich besteht ein starker Kostendruck, der dazu führt, dass Krankenhäuser, Medizinische Versorgungszentren und Arztpraxen viele Aufgaben auslagern und an Dritte vergeben. Damit können teilweise umfangreiche Einsparungen, gerade im IT-Bereich, erreicht werden. Die bundesrechtlichen und landesrechtlichen Regelungen lassen jedoch eine Auftragsdatenverarbeitung von personenbezogenen Medizindaten ohne Einwilligung des/der Betroffenen nicht zu. Solange auf Bundesebene hierzu keine einheitlichen Regelungen geschaffen werden, können in Schleswig-Holstein Lösungen auf der Basis eigener gesetzlicher Regelungen, welche die Wahrung der medizinischen Vertraulichkeit sicherstellen, erarbeitet werden.

Der Landtag sollte prüfen, ob für das Land Regelungen zum vertrauenswürdigen Auslagern medizinischer Aufgabenwahrnehmung sinnvoll sind.

X. Bildung und Wissenschaft

Das ULD hat sich im Februar 2011 an das Bildungsministerium des Landes mit einer ausführlichen Problemskizze gewandt, in der Datenschutzdefizite in Schulen und sich daraus ergebende Handlungsbedarfe beim Ministerium dargestellt werden. Bis zum Ende der Legislaturperiode erhielt das ULD hierauf keine Antwort. Im April 2012 richtete das ULD einen erneuten Appell an das Bildungsministerium, die Situation des Datenschutzes an Schulen nachhaltig zu verbessern. Handlungsbedarf besteht insbesondere hinsichtlich folgender Aspekte:

  • Festlegung von verbindlichen Vorgaben und Mindeststandards für Datenschutz an Schulen im Erlassweg,
  • Unterstützung der Datenschutzfortbildung bei Lehrkräften und den Schulverwaltungen,
  • Anpassung der eingesetzten Schulverwaltungsprogramme an die rechtlichen Voraussetzungen,
  • Festlegung einheitlicher sicherer Standards bei der E-Mail-Kommunikation, dem Einsatz von Notebooks und der Datenverarbeitung bei den Lehrkräften zu Hause,
  • verpflichtende Einführung von Datenschutzbeauftragten in Schulen,
  • Festlegung von Standards für datenschutzkonforme Schulhomepages, Verzicht auf den Einsatz von Facebook,
  • kontrollierte Einrichtung von Internetzugängen an Schulen,
  • Erarbeitung von Datenschutz-Curricula und
  • Einsatz von datenschutzkonformen informationstechnischen Lehrmitteln.
  • ULD-Strategiepapier "Personenbezogene Datenverarbeitung der Schulen"

Das ULD erwartet vom Bildungsministerium, dass die vorgelegten konkreten Vorschläge in Kooperation mit dem ULD und allen Beteiligten erörtert und praktisch angegangen werden, und bittet den Landtag dafür um politische Unterstützung.

XI. Finanzverwaltung

Bundesweit wird seit Jahren darüber gestritten, ob Bürgerinnen und Bürger einen Anspruch darauf haben, ihre eigene Steuerakte ohne Beschränkungen einzusehen. Die Finanzverwaltung des Landes Schleswig-Holstein untersagt weiterhin regelmäßig diese Einsichtnahmen von Betroffenen, wenngleich gerichtliche Entscheidungen derartige Ansprüche bestätigen, etwa des Bundesverfassungsgerichts oder der Oberverwaltungsgerichte Nordrhein-Westfalen und Hamburg. Dessen ungeachtet sieht die Finanzverwaltung des Landes Schleswig-Holstein weiterhin keine Veranlassung, diesen Anspruch für alle Betroffenen anzuerkennen und durchzusetzen. Dies sollte gesetzlich geregelt werden. Auf Bundesebene sollten die Bemühungen der Datenschutzbeauftragten des Bundes und der Länder unterstützt werden, eine abschließende Regelung in die Abgabenordnung aufzunehmen und diese dem Recht auf informationelle Selbstbestimmung entsprechend auszugestalten. Bis diese Forderung auf Bundesebene umgesetzt ist, was seit Jahrzehnten verhindert wird, sollte auf Landesebene eine grundrechtskonforme Regulierung gesucht werden.

Der Landtag sollte seine regulatorischen und kontrollierenden Möglichkeiten nutzen, um das Recht auf informationelle Selbstbestimmung in der Finanzverwaltung des Landes durchzusetzen.

XII. Einsatz und Nutzung sozialer Medien

Datenschutz bei sozialen Medien, also insbesondere bei Internetdiensten, spielt bei der Tätigkeit des ULD seit mehreren Jahren eine große, weiter zunehmende Rolle, wobei regelmäßig ein enger Bezug zur Landespolitik besteht, so etwa bei der Auseinandersetzung um die Erfassung von Panoramabildern für den Dienst Google Street View

oder um den Einsatz von Google Analytics als Werkzeug zur Reichweitenmessung.

Seit der Veröffentlichung der Datenschutzkritik des ULD an den Fanpages und Social-Plugins (z. B. des „Gefällt mir“-Buttons) von Facebook im August 2011 findet eine intensive Debatte über den Datenschutz bei sozialen Netzwerken, insbesondere bei Facebook, auf Landes-, Bundes- und internationaler Ebene statt. Das ULD hat wegen des Betriebs von Facebook-Fanpages gegenüber mehreren öffentlichen Stellen, darunter u. a. dem Ministerpräsidenten des Landes und der Industrie- und Handelskammer zu Lübeck, Beanstandungen ausgesprochen und, nachdem diesen nicht gefolgt wurde, den Landtag angerufen.

Der Innen- und Rechtsausschuss des Landtags hat sich zuletzt auf seiner Sitzung am 15.02.2012 über den Sachstand berichten lassen, auf der ein Rechtsgutachten der Innenministerkonferenz zu Fanpages und Social-Plugins von Facebook in Aussicht gestellt wurde. Der Ausschuss kam überein, das Thema bei einem neuen Sachstand wieder aufzunehmen (zum Einsatz durch Sicherheitsbehörden s. o. in Abschnitt VIII, in Schulen s. o. in Abschnitt X).

Das ULD bittet den Landtag, im Rahmen seiner Kontrollkompetenz gegenüber der Exekutive darauf hinzuwirken, dass diese die datenschutzrechtlichen Regelungen beim Einsatz sozialer Medien beachtet und u. a. auf die Nutzung von Fanpages und Social-Plugins von Facebook verzichtet.

Hinsichtlich des Einsatzes von Fanpages und Social-Plugins im nicht-öffentlichen Bereich der Wirtschaft hat das ULD gegenüber den zuständigen Ausschüssen (Innen und Recht, Wirtschaft) signalisiert, dass die derzeit anhängigen verwaltungsgerichtlichen Verfahren von drei Einrichtungen gegen das ULD abgewartet werden sollen, bevor weitergehende Sanktionen verhängt werden.

Die Diskussion über den datenschutzkonformen Einsatz sozialer Medien hat eine große Relevanz in allen Lebensbereichen. Diese Diskussion wurde bisher stark durch Beiträge aus Schleswig-Holstein, auch des hiesigen Landtags, bestimmt.

Es ist zu wünschen, dass die politisch verantwortlichen Stellen an der generellen Diskussion über den datenschutzkonformen Einsatz sozialer Medien aufgrund der großen Relevanz für sämtliche Lebensbereiche intensiv teilnehmen und dass die insofern ergriffenen Maßnahmen des ULD näher erörtert und dann nachhaltig unterstützt werden.

Der Einsatz sozialer Medien in der öffentlichen Verwaltung bedarf einer stelleninternen Regulierung und Klarstellung. Hierfür können sog. „Social Media Guidelines“ (Richtlinien für den Einsatz und die Nutzung sozialer Medien) sowie im Rahmen der Mitbestimmung erarbeitete Betriebs- bzw. Personal- und Dienstvereinbarungen einen wichtigen Beitrag leisten.

Die politisch verantwortlichen Stellen in Schleswig-Holstein sind aufgefordert, sich an der Entwicklung von Regelwerken zum datenschutzkonformen Einsatz und zur entsprechenden Nutzung sozialer Medien aktiv zu beteiligen.

 

Schlussbemerkung

Dieser Text fasst wesentliche Diskussionspunkte zu Datenschutz und Informationsfreiheit zusammen, die in Schleswig-Holstein aktuell und in naher Zukunft eine wichtige Rolle spielen. In all diesen Bereichen bestehen Handlungsoptionen und Spielräume für die politische Ausgestaltung.

Das ULD würde sich freuen, wenn seine Vorstellungen und Erwartungen aufgegriffen und zum Gegenstand der kommenden Landespolitik gemacht würden. Die gesamte Dienststelle des ULD steht für Rückmeldungen und Nachfragen zu den genannten Themen zur Verfügung. Gerne können weitere Erläuterungen oder Hinweise auf vertiefende Materialien gegeben werden. Die Fortführung des Diskurses zu den rechtlichen, technischen und organisatorischen Fragen liegt nach Ansicht des ULD im Interesse des Datenschutzes, der Informationsfreiheit und des Gemeinwohls für das Land Schleswig-Holstein.

 

Dr. Thilo Weichert
Leiter des ULD