17. TB (1995) - Zur Situation des Datenschutzes in Schleswig-Holstein

17. Tätigkeitsbericht (1995)

1.	Zur Situation des Datenschutzes in Schleswig-Holstein
1.1	Gesetzgebung, Kontrolle und Beratung
	Schleswig-Holstein hat seine Gesetzgebung in den letzten Jahren in wesentlichen Teilen an die Rechtsprechung des Bundesverfassungsgerichts zum Recht auf informationelle Selbstbestimmung angepaßt. Für die wichtigsten Verwaltungsbereiche liegen, flankiert durch das Landesdatenschutzgesetz, bereichsspezifische Datenverarbeitungsbestimmungen vor. Mit dem Erlaß der Datenschutzverordnung im vergangenen Jahr wurden Maßstäbe für eine sichere und ordnungsgemäße automatisierte Datenverarbeitung gesetzt (vgl. Tz. 6.1). Nach wie vor ohne Rechtsgrundlage betreibt allerdings der Justizminister das landesweite Informationssystem für die Staatsanwaltschaften (GAST), in dem alle Personen gespeichert werden, gegen die ein strafrechtliches Ermittlungsverfahren eingeleitet worden ist (vgl. Tz. 4.4.1). Der sog. "Übergangsbonus", auf den sich der Justizminister bislang immer berief, dürfte mit dem Ende der letzten Legislaturperiode des Deutschen Bundestages beim besten Willen abgelaufen sein. Mehrere Gelegenheiten, für eine verfassungskonforme Rechtsgrundlage zu sorgen, wie zuletzt die Verabschiedung des Verbrechensbekämpfungsgesetzes, blieben ungenutzt. Das Land hat außer vielfältigen Interventionen in Bonn nichts Eigenständiges zuwege gebracht. Statt dessen wurde kurz vor Ablauf der Legislaturperiode ein Gesetzentwurf des Bundesrates unterstützt, der unter Datenschutzgesichtspunkten jeder Beschreibung spottet. Dadurch wurden die bis dahin vielleicht bestehenden Chancen des Landes gemindert, selbst gesetzgeberisch tätig zu werden. Wo immer der Schwarze Peter in dieser Frage letztlich hingeschoben wird, aus der Sicht der betroffenen Bürger wie sicherlich auch der Staatsanwälte, die täglich mit GAST arbeiten müssen, ist es ein Skandal, daß auch 14 Jahre nach Einführung des Systems noch keine gesetzliche Grundlage besteht. Ausgerechnet durch die Justiz selbst wird damit das Volkszählungsurteil des Bundesverfassungsgerichts mißachtet. Dabei dürfte gerade in Schleswig-Holstein in den vergangenen Monaten deutlich geworden sein, wie sensibel die Verarbeitung von Informationen darüber ist, wer gegen wen wann ein strafrechtliches Ermittlungsverfahren eingeleitet hat. Der Schwerpunkt der Tätigkeit der Dienststelle hat sich im Berichtsjahr zur Kontrolle hin verlagert (vgl. Tzn. 4.1.1.1, 4.3.1, 4.3.5, 4.6.1, 4.8.2, 6.2). Neben erfreulichen Einzelbeispielen (vgl. Tz. 6.2.3) und einer steigenden Aufgeschlossenheit in den Behörden gegenüber den datenschutzrechtlichen Belangen der Bürger stellen wir immer wieder Mängel bei der Umsetzung des Datenschutzrechts und beim Umgang mit der automatisierten Datenverarbeitung fest. Nach wie vor trennen sich viele Behörden nur ungern von einmal gesammelten Daten. So fanden wir bei Kontrollen in einer psychiatrischen Klinik die Behandlungsakten bis zurück ins letzte Jahrhundert (vgl. Tz. 4.8.2). In einigen Führerscheinstellen haben wir festgestellt, daß Strafurteile und Bußgeldbescheide auch noch Jahrzehnte nach Löschung der entsprechenden Informationen im Bundes- und im Verkehrszentralregister noch gespeichert waren. Kommt dann noch der Umstand hinzu, daß inzwischen auch die Akten vernichtet wurden, bleibt nur die Speicherung im Computer. Der Bürger kann dadurch leicht in die Rolle desjenigen geraten, der seine Unbescholtenheit erst beweisen muß, anstatt daß die Behörde den Beweis der Richtigkeit und Rechtmäßigkeit der Datenspeicherung antritt (vgl. Tz. 4.6.1) Stichprobenkontrollen bei einzelnen Kommunen haben ergeben, daß nach wie vor Mängel bei der Umsetzung des Datenschutzrechts in die Praxis bestehen (vgl. Tz. 4.3.1). Die Kontrollen im Bereich der automatisierten Datenverarbeitung die auch im Berichtsjahr einen Schwerpunkt bildeten, zeigen, daß der sichere Umgang mit der Computertechnik für viele Behörden noch Zukunftsmusik ist. Der schnelle Ankauf von Technik und die Vereinfachung und Beschleunigung von Routineverfahren ist eine Sache; die Beherrschung der Technik unter Wahrung der für die Verwaltung geltenden Rechtsvorschriften eine andere, offenbar ungemein schwierigere. So konnten wir feststellen, daß die Umsetzung der Verfahrensvorschriften für die automatisierte Datenverarbeitung zu wünschen übrig läßt (vgl. Tz. 6.2). Selbst in einem so sensiblen Bereich wie der Verarbeitung medizinischer Daten in einer Medizinischen Universität herrschten erhebliche Sicherheitsmängel (vgl. Tz. 6.2.2). Der ungestüme Aufbau der elektronischen Datenverarbeitung mit derzeit über 600, zum Teil miteinander vernetzten, PC stellte eine Universitätsklinik offenbar vor kaum lösbare Probleme, da noch nicht einmal das Geräteverzeichnis und die Dateibeschreibungen in Ordnung waren. Aber auch bei vermeintlichen Standardfragen wie der Nutzung von medizinischen Daten für Forschungszwecke stellten wir schwere Verstöße gegen die standesrechtlichen Bestimmungen fest. Es gäbe also viel zu tun für den Datenschutz der Bürgerinnen und Bürger. Leider steht der Datenschutz in vielen Behörden trotz gestiegener Akzeptanz in der Prioritätenskala noch ziemlich weit hinten. Dabei mag man noch schmunzeln über die Aussage von Mitarbeitern einer geprüften Stelle, zur Datenlöschung kämen sie immer nur an den Tagen, an denen die Kollegen auf Betriebsausflug seien. Wenn aber die Ergebnisse unserer Kontrollen akzeptiert, die notwendigen Konsequenzen jedoch auf die lange Bank geschoben werden, stellt sich für uns die Frage, ob es auf Dauer gutgehen kann, wenn der Ertrag teilweise aufwendiger Kontrollen letztlich durch ständiges Hintenanstellen in der Prioritätenskala zerredet wird (vgl. Tzn. 4.5.1, 6.2.1). Neben der Kontrolle spielte auch die Beratung im Berichtsjahr wieder eine herausragende Rolle. Regionale Datenschutztage und DATENSCHUTZAKADEMIE haben dazu beigetragen, daß von den Behörden verstärkt der direkte Draht zur Dienststelle gesucht wird. Die Beratungsersuchen sind zahlreicher, aber auch detaillierter und spezifischer geworden. Viele Behörden haben erkannt, daß es für alle vorteilhafter ist, möglichst von vornherein Verstöße gegen das Datenschutzrecht zu vermeiden. Die Bürgereingaben umfangreicher geworden und lassen erkennen, daß viele Betroffene über ihre Datenschutzrechte zumindest in den Grundzügen recht gut Bescheid wissen. Deutlich zugenommen haben die Beratungsersuchen aus dem politisch-parlamentarischen Raum. Kaum ein Monat verging, in dem die Dienststelle nicht um Begutachtung einzelner Fragen, etwa der Offenbarungspflicht der Regierung gegenüber dem Parlament, gebeten wurde. Stets haben wir dabei versucht, zu Lösungen beizutragen, die sowohl dem Datenschutzrecht der Betroffenen als auch den Informationsrechten des Parlaments Rechnung trugen (vgl. Tz. 3.1). Der weitere Ausbau des Kursangebots der DATENSCHUTZAKDEMIE (vgl. Tz. 10) ist ein Versuch, den Beratungsbedarf und die Vielzahl der Vortragswünsche, die an die Dienststelle herangetragen werden, zu bündeln und möglichst ökonomisch zu bewältigen.
1.2	Die personelle Ausstattung der Dienststelle
	Die Zahl der Mitarbeiterinnen und Mitarbeiter -einschließlich Schreibdienst und Registratur ist im Berichtsjahr auf 15 angewachsen. Für das Jahr 1995 hat der Landtag dankenswerter Weise zwei neue Stellen des höheren Dienstes genehmigt. Mit ihrer Besetzung dürfte eine spürbare Intensivierung der Präsenz der Dienststelle in den Behörden eintreten. Damit hat das Parlament auch in Zeiten einer angespannten Haushaltslage ein deutliches Zeichen gesetzt. Der technologische Wandel in der Informationsverarbeitung bedarf der begleitenden Kontrolle und Beratung zur Wahrung der Rechte der Bürgerinnen und Bürger. Deshalb müssen die Aufwendungen für den Datenschutz in einer angemessenen Relation zu den Kosten der Automatisierung der Datenverarbeitung stehen. Anläßlich der Beratung des 16. Tätigkeitsberichts im Parlament wurde dieser Zusammenhang erstmals deutlich herausgestellt. Unter anderem wurde die Frage erörtert, ob nicht die Beratungstätigkeit über Gebühreneinnahmen finanziert werden könnte. Auch wenn es gute Gründe geben mag, nicht so weit zu gehen, so hat doch das Parlament durch diese Debatte und nicht zuletzt durch die Verbesserung der Personalausstattung zu erkennen gegeben, daß ihm wohl bewußt ist, daß die Kosten für den Datenschutz die zwangsläufigen Folgen des Ausbaus der elektronischen Datenverarbeitung sind.