Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Für die Nennung von Namen und Adressen betroffener Bürger besteht im Planfeststellungsverfahren regelmäßig keine Berechtigung. Die Namen sind insbesondere nicht an Dritte weiterzureichen.

Bereits im 23. Tätigkeitsbericht (2001) hatte sich das ULD mit der Frage zu beschäftigen, wie mit den Namen von Personen in Planfeststellungsverfahren umzugehen ist. Damals war festzustellen, dass nach den Vorschriften des Landesverwaltungsgesetzes in einem Planfeststellungsverfahren zwar Pläne öffentlich auszulegen sind, aus denen auch die betroffenen Grundstücke erkennbar sind, dies jedoch nicht bedeute, dass auch die Namen der betroffenen Grundstückseigentümer angegeben werden dürfen. Für eine solche Veröffentlichung personenbezogener Daten ist eine Befugnisgrundlage erforderlich, die nicht gegeben ist.

Der Vortrag des ULD-Leiters vor Vertreterinnen und Vertretern der Gerichte und Justizbehörden befasst sich mit den Anforderungen an Justiz-IT aus Sicht des Datenschutzes und der richterlichen Unabhängigkeit.

Registernummer 1-4/2015

Zertifiziert am 02.04.2015
Befristet bis 02.04.2017

Server-basierte Web-Anwendung zur Unterstützung der medizinischen Patientenversorgung bei chronischen Erkrankungen

„Die Notwendigkeit zum Schutz digitaler Grundrechte und die realen Möglichkeiten des Schutzes klaffen zunehmend auseinander.“ So lässt sich knapp der 35. Tätigkeitsbericht des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) zusammenfassen. Diese Aussage beruht darauf, dass die Möglichkeiten zur Verletzung der digitalen Grundrechte sowie die tatsächlich bekannt gewordenen Verstöße massiv zugenommen haben. Zugleich stagnieren die Möglichkeiten zur Abwehr der Angriffe sowie die tatsächlich umgesetzten Gegenmaßnahmen.

Der Vortrag des ULD-Leiters auf der Rechtsberatertagung der Bundesärztekammer befasst sich mit dem aktuellen Stand der Beratung der Europäischen Datenschutz-Grundverordnung unter besonderer Berücksichtigung der für die Ärzteschaft und den Medizinbereich relevanten Fragestellungen.

Das ULD hat zu diesem Thema bereits im 33. Tätigkeitsbericht (TB) unter Ziff. 4.1.4 zur namentlichen Nennung von Einwohnern in Gremienprotokollen Stellung genommen. Für die Protokollierung von Einwohnern, die sich in Gremiensitzungen zu Wort melden, fehlt es – anders als für die gewählten Mitglieder der jeweiligen Gremien – an einer Rechtsgrundlage für die Aufnahme der Namen in das Protokoll. Erst recht ist eine anschließende Veröffentlichung im Internet unzulässig. Daher bedarf es hierfür einer wirksamen Einwilligung der Betroffenen.

Werden Patientendaten von Krankenhäusern an externe Dienstleister übermittelt, stellt dies eine Offenbarung im Sinne der ärztlichen Schweigepflicht dar und bedarf daher einer wirksamen Einwilligung. Dieser Beitrag befasst sich mit der Frage, wie ein Einwilligungstext sowohl kurz und verständlich, als auch vollständig und rechtswirksam gestaltet werden kann.

Der Vortrag des ULD-Leiters auf einem IuK-Wirtschaftsforum in Hannover befasst sich mit Chancen und Risiken von Big-Data-Anwendungen. Dabei werden insbesondere aus Datenschutzsicht die rechtlichen Rahmenbedingungen beleuchtet und die Voraussetzungen herausgearbeitet, die für einen rechtmäßigen Einsatz dieser Technik erfüllt sein müssen.

Bei Kleinstgemeinden mit bis zu 70 Einwohnern tritt in Schleswig-Holstein nach § 54 der Gemeindeordnung Schleswig-Holstein (GO) an die Stelle einer gewählten Gemeindevertretung eine aus allen Bürgern bestehende Gemeindeversammlung. Für den Informationsanspruch der Mitglieder der Gemeindeversammlung gelten die Maßgaben der GO für die Auskunftspflicht der Verwaltung in angepasster Form (unten I.) neben denen des Informationszugangs- und Datenschutzrechts nach dem IZG und LDSG (unten II.). Hinsichtlich eines Auskunfts-, Akteneinsichts- oder sonstigen Begehrens auf Bereitstellung von Informationen sind die möglichen Anspruchsgrundlagen jeweils parallel anwendbar. Es kommt die Regelung zur Geltung, die den jeweils weitesten Informationsanspruch bei den gegebenen Voraussetzungen gewährt (Bracker/Borchet et al. in PdK^{EL. 2014} § 30 GO Rn. 1). Die resultierenden datenschutzrechtlichen Folgerungen werden als Fazit dargestellt (unten III.). Von einer Betrachtung des gleichsam parallel neben der GO und dem IZG bestehenden Akteneinsichtsrechts für Beteiligte eines Verwaltungsverfahrens nach § 88 LVwG wird abgesehen.

Zusammenfassung:

IT-Sicherheit ist eine Grundvoraussetzung für die Sicherung der Grundrechte auf informationeller Selbstbestimmung und auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme. Angesichts der modernen Risiken für informationstechnische Strukturen sind vorgesehene Maßnahmen wie der Ausbau des Bundesamtes für die Informationssicherheit (BSI) zu einer nationalen Zentrale für IT-Sicherheit, die Festlegung von Sicherheitsstandards, die Pflicht zur Sicherheitsvorsorge in Unternehmen, Melde- und Benachrichtigungspflichten bei sicherheitsrelevanten Vorfällen wichtige Bausteine einer nationalen Strategie für mehr IT-Sicherheit. IT-Sicherheitsmaßnahmen setzen in vielen Fällen die Verarbeitung personenbeziehbarer Daten voraus. Die damit verbundenen Eingriffe in das Recht auf informationelle Selbstbestimmung sowie in das Telekommunikationsgeheimnis bedürfen einer normenklaren, spezifischen, auf das Erforderliche und Verhältnismäßige sich beschränkenden gesetzlichen Grundlage, die für die Betroffenen normenklar erkennen lässt, wie welche Maßnahmen durchgeführt werden. Diesen Anforderungen genügt der vorliegende Entwurf noch nicht. Verarbeitungsregeln für die verpflichteten Unternehmen fehlen vollständig. Zweckbindungsregeln sind nur für das BSI vorgesehen. Vorgaben zur Wahrung der Datensparsamkeit, etwa durch Anonymisierung, Pseudonymisierung, frühzeitige Löschung und Abschottung, bei Maßnahmen der IT-Sicherheit sind bisher nicht geplant. Vorkehrungen für die IT-Sicherheit sollten in gleicher Weise für Telekommunikations- wie für Telemedienbetreiber gültig sein. Die Datenschutzaufsichtsbehörden müssen als auch für IT-Sicherheit zuständige Behörden bei der Festlegung von Sicherheitsstandards, bei den Meldewegen und bei der Beratung der Beteiligten rechtlich eingebunden werden. IT-Sicherheit darf nicht alleine Behörden im Direktionsbereich des Bundesministeriums des Innern überlassen bleiben, die bei einer Abwägung zwischen IT-Sicherheit und klassischer Gefahrenabwehr und Strafverfolgung sich im Zweifelsfall möglicherweise einseitig zugunsten Letzterer entscheiden. Die Bestrebungen nach mehr IT-Sicherheit können sich nicht auf die Verabschiedung eines IT-Sicherheitsgesetzes beschränken. Der tatsächliche Aufbau vertrauenswürdiger und sicherer IT-Infrastrukturen und die Förderung solcher Techniken ist Aufgabe des Staates. Dabei kommt der Weiterentwicklung und Implementierung von Verschlüsselungsverfahren eine zentrale Funktion zu.