18. Tätigkeitsbericht (1996)



1.

Zur Situation des Datenschutzes in Schleswig-Holstein

1.1

Gesetzgebung, Kontrolle, Beratung

1.1.1

Gesetzgebung

Im vergangenen Jahr hat das Parlament mit der Verabschiedung eines Gesetzes über die staatsanwaltschaftlichen Verfahrensregister (vgl. Tz. 4.4.1) sowie mit der Novelle zum Landesbeamtengesetz (vgl. Tz. 4.11.6) wichtige Lücken in der Datenschutzgesetzgebung des Landes geschlossen. Die ungebrochene Dynamik der Entwicklung und des Einsatzes der elektronischen Datenverarbeitung zwingen aber zu weiteren gesetzgeberischen Anstrengungen. In wichtigen Bereichen sind nach wie vor die Konsequenzen aus dem Volkszählungsurteil zu ziehen.

Das Landesdatenschutzgesetz muß innerhalb von drei Jahren an die Vorgaben der EU-Datenschutzrichtlinie angepaßt werden (vgl. Tz. 8.1). In folgenden Bereichen ist die Neugestaltung der derzeitigen Regelungen angezeigt.

  • Verbesserung des Schutzes besonders sensibler Daten

  • Regelung verbindlicher präventiver Kontrollen bei besonders riskanten Verarbeitungsverfahren

  • Einräumung eines Widerspruchsrechts für die Betroffenen unter bestimmten Voraussetzungen

  • Verbindliche Einführung behördlicher Datenschutzbeauftragter

  • Stärkung der Unabhängigkeit und der Befugnisse des Landesbeauftragten für den Datenschutz

  • Entbürokratisierung des Datenschutzes durch Wegfall des zentralen Dateienregisters

  • Vereinfachung und Verschlankung der Datenschutzkontrolle durch Zusammenlegung der Kontrolle im öffentlichen Bereich mit der Aufsicht im Privatbereich in einer Hand

Unabhängig vom Anpassungsbedarf an die EU-Richtlinie sollte das LDSG stärker auf neue technische Entwicklungen, etwa im Bereich der Netze und Chipkarten (vgl. Tzn. 7.3 u. 7.5), ausgerichtet werden.

Die Verabschiedung eines Sicherheitsüberprüfungsgesetzes ist notwendig, weil die besonders intensive Datenverarbeitung in diesem Bereich nicht mehr länger auf Richtlinien oder den Übergangsbonus gestützt werden kann.

Die tiefgreifenden Veränderungen durch den zunehmenden Computereinsatz in der Medizin sollten dazu führen, daß der Schutz des Patientengeheimnisses gestärkt und in zeitgemäßer Form durch ein Gesundheitsdatenschutzgesetz gewährleistet wird (vgl. Tzn. 4.8.4 u. 4.8.2).

Eine Reihe weiterer Gesetze bedarf Korrekturen und Ergänzungen im Hinblick auf die Verarbeitung personenbezogener Daten. Dazu gehören u.a. das Gesetz über Kindertagesstätten, das Vermessungs- und Katastergesetz, das Abfallrecht, das Kommunalabgabengesetz, das Landesmeldegesetz sowie das Rundfunkrecht. In einigen Bereichen steht die Landesregierung in der Pflicht, die vom Gesetzgeber vorgesehenen Rechtsvorschriften zu erlassen (vgl. Tz. 4.5.2).

1.1.2

Kontrolle


Die im Berichtsjahr durchgeführten Kontrollen haben Mängel unterschiedlicher Art zutage gebracht. Es wurden Einzelverstöße, Nachlässigkeiten, Fehlinterpretationen der Gesetze, aber auch Versuche, die Gesetze zu umgehen, und schwere systematische Fehler entdeckt.

Häufig können vermeintlich kleine Fehler beim Umgang mit personenbezogenen Daten für die Betroffenen schwerwiegende Folgen haben. So mußte eine Petentin ihre Wohnung verlassen und sich wochenlang unter wechselnden Adressen verbergen. Grund: Eine Sozialamtsmitarbeiterin wollte nett sein und gab einem rabiaten Ehemann "nur" die Telefonnummer seiner getrennt lebenden Ehefrau, die gerade einen neuen Unterschlupf gefunden hatte. Hiermit ermittelte er die neue Anschrift, die das Einwohnermeldeamt ihm wegen einer Auskunftssperre verweigert hatte, und bedrohte und drangsalierte die Frau erneut (vgl. Tz. 4.7.2). Ein anderer Petent hatte alle Hände voll zu tun, Forderungen, Mahnbescheide, Versäumnisurteil und Gerichtsvollzieher abzuwehren. Grund: Dem Meldeamt war dreimal nacheinander die gleiche peinliche Verwechslung mit einer anderen Person unterlaufen (vgl. Tz. 4.1.2). Eine Petentin gelangte mit ihrem Geschäftsbetrieb an den Rand des Ruins, weil ihr die Banken plötzlich keinen Kredit mehr gaben. Grund: Ein versehentlicher Eintrag in die Schuldnerliste (vgl. Tz. 4.4.4). Ein Polizeibeamter, gegen den vor Jahren einmal ermittelt worden war und der sich an einer anderen Dienststelle eine "neue Existenz" aufgebaut hatte, mußte erleben, wie ihn die Schatten der Vergangenheit auch dort einholten. Grund: Seine Fingerabdrücke waren auch 9 Jahre nach dem Freispruch noch gespeichert (vgl. Tz. 4.2.1). Ein Bürger mußte 2 000 DM Verfahrenskosten bezahlen, weil weder die Behörde noch das Verwaltungsgericht erkannten, daß er ein Recht auf Akteneinsicht hat (vgl. Tz. 4.6.4). Einmal mehr zeigen diese Beispiele, daß es von vornherein "harmlose" Daten und "leichte Fehler" bei ihrer Verarbeitung nicht gibt. Es kommt vielmehr auf den Verwendungszusammenhang an, wie es das Bundesverfassungsgericht im Volkszählungsurteil bereits festgestellt hat.

Die Verfahrensweisen der Behörden zeigen allzu häufig ein widersprüchliches Bild. Während auf der einen Seite die Modernisierung der Verwaltung mit allem Nachdruck vorangetrieben wird, bis hin zur Vernetzung von Behörden über Zuständigkeitsgrenzen hinweg und zur Einrichtung von Bürgerbüros, in denen "alles aus einer Hand" bearbeitet werden soll, begegnete uns andererseits das bekannte Beharrungsvermögen. Verweigerung der Akteneinsicht ohne sachlichen Grund, sondern "aus Prinzip" (vgl. Tz. 4.6.4); Beibehaltung überkommener Formulare und "bewährter" Verfahrensweisen mit der kaum verhohlenen Begründung: "Das haben wir immer so gemacht" (vgl. Tz. 4.1.3); während die Polizei mit modernster Datenverarbeitungstechnik ausgerüstet wird (vgl. Tz. 4.2.8), sind die seit Jahren verwendeten Vordrucke für Vernehmungen zu kritisieren, weil sie nicht korrekt über das Aussageverweigerungsrecht aufklären (vgl. Tz. 4.2.2); obwohl die Polizei ihre Datenverarbeitungssysteme selbständig betreibt und die Staatsanwaltschaft hierauf keinen Zugriff hat, soll ausgerechnet bei Auskunftsersuchen von Bürgern die Sachleitungsbefugnis der Staatsanwaltschaft der Auskunftserteilung entgegenstehen (vgl. Tz. 4.2.3); während die Justiz mit großem finanziellen Aufwand ihren Geschäftsstellenbetrieb automatisiert (vgl. Tz. 5.1), entspricht die Aufbewahrung der sensiblen Akten noch immer nicht den Anforderungen (vgl. Tz. 4.4.3).

Die Behörden entdecken immer mehr den Reiz der Privatisierung. Insbesondere die Auftragsdatenverarbeitung kommt in Mode. Vielen Behörden ist aber nicht klar, daß sie auch dann die Verantwortung für die Verarbeitung der Daten über ihre Bürgerinnen und Bürger behalten, wenn sie private Firmen damit beauftragt haben (vgl. Tz. 4.5.1). Bei mehreren Prüfungen war den öffentlichen Stellen nicht bekannt, was ihre privaten Auftragnehmer mit den ihnen überlassenen Daten im einzelnen gemacht hatten. Viele der uns vorgelegten Verträge zur Auftragsdatenverarbeitung entsprachen nicht den Vorschriften (vgl. Tzn. 4.5.1 u. 6.7.4).

Sorge bereitet die Art und Weise, mit der vielerorts geradezu hektisch die Automatisierung der Datenverarbeitung betrieben wird. Erfreulicherweise werden wir zwar immer häufiger mit umfangreichen Projektbeschreibungen, Konzepten und Pilotverfahren mit der Bitte um Beratung "eingedeckt". Aber trotz wortreicher Bemühungen lassen diese in der Regel nicht klar erkennen, was aus unserer Sicht das Entscheidende wäre: Zielrichtung und Konzeption der neuen Verfahren. Wenn aber jenseits von Leerformeln wie "Modernisierung", "Vereinfachung", "Beschleunigung", "Kosteneinsparung" usw. nicht klar definiert wird, welche konkrete Vorstellung die Verwaltung eigentlich mit einem Automationsvorhaben verbindet, ist es nicht möglich, die Konzepte an diesen Zielvorgaben zu messen. In diesen Fällen können auch wir in unseren Stellungnahmen nur "Steine statt Brot" geben: Eine präzise datenschutzrechtliche Beurteilung ist nur möglich, wenn die Verwaltung auch präzise Absichtserklärungen abgibt.

Gleichwohl werden landauf, landab Millionenbeträge in neue Hard- und Software investiert. Der kurzfristige Erfolg, aber auch das Prestige, sind nicht selten wichtiger als solide Sicherungskonzepte. Da zumeist ein objektiver oder hausgemachter Zeitdruck besteht, werden Risiken für die Rechtmäßigkeit und Ordnungsmäßigkeit der Datenverarbeitung mehr oder weniger bewußt in Kauf genommen. An die Stelle solider Verfahrenskonzepte treten sogenannte Pilotprojekte nach dem Motto: "einfach mal anfangen". Wenn dann später einmal ganze Ämter mehrere Tage geschlossen werden müssen, weil die EDV ausfällt, dann ist die überhastete Automatisierung längst auf dem Erfolgskonto verbucht.

Dabei bietet die Datenverarbeitungstechnik für die meisten Sicherheits- und Ordnungsmäßigkeitsprobleme heute selbst Lösungen an. Die Datenschutzverordnung des Landes gibt zudem einen brauchbaren und verläßlichen Verfahrensrahmen, um neue Projekte solide zu konzipieren und sicher umzusetzen (vgl. Tz. 6.1). Vielen ist das zu aufwendig und zu umständlich. Es muß alles schnell gehen und möglichst billig sein. Würde die Industrie nach dem gleichen Motto handeln, dann würden ihre hochkomplizierten computergesteuerten Fertigungsstraßen, Prozeßsteuerungsanlagen und Kommunikationsnetze kaum so reibungslos funktionieren. Wir meinen, daß die korrekte Abwicklung von Verwaltungsverfahren, insbesondere die Beachtung der Grundrechte der Bürgerinnen und Bürger, zumindest den gleichen Sicherheitsstandard verdienen, wie es für industrielle Anlagen und andere Abläufe in der Wirtschaft selbstverständlich ist. Selbst einem Laien auf dem Gebiet der Informatik müßte einleuchten, daß vernetzte Arbeitsplätze mit einer einheitlich aufgebauten, aber auf den Benutzer zugeschnittenen differenzierten Bedienoberfläche und eine strikte Trennung zwischen Administration und Benutzung von Systemen sicherer sind als ein Ameisenhaufen unterschiedlicher PC, in denen jeder Bearbeiter "sich selbst verwirklicht".

Die Modernisierung der Verwaltung ist ein vorrangiges Ziel der Landesregierung. Gegen eine Effektivierung der Arbeit der Behörden, gegen den Abbau von Bürokratie und Leerlauf, gegen die Automatisierung von Verfahren gibt es nichts einzuwenden. Im Gegenteil: Der Datenschutzbeauftragte erwartet von einer modernen Verwaltung auch den Verzicht auf Datenfriedhöfen und das Argument "das haben wir immer so gemacht" und eine möglichst weitgehende Transparenz der Datenverarbeitung gegenüber dem Bürger.

Wer allerdings die Modernisierungsdebatte ausschließlich unter dem Gesichtspunkt der Kosteneinsparung führt, gerät leicht auf ein gefährliches Gleis. Ein ganz entscheidender Kostenfaktor ist nämlich der Rechtsstaat selbst. Verfahrensrechtliche Prinzipien wie das rechtliche Gehör, die Akteneinsicht, die Rechtsmittelbelehrung, um nur wenige zu nennen, verkomplizieren die Verfahrensabläufe. Sie sind aber in der Verfassung garantiert.

In ähnlicher Weise sehen sich datenschutzrechtliche Prinzipien der Hinterfragung ausgesetzt: Warum umständliche Sicherheits- und Ordnungsprozeduren, die Zeit und Geld kosten? Warum sich damit aufhalten, den Bürger bei der Datenerhebung über die beabsichtigte Verarbeitung aufzuklären, wo doch das erklärte Ziel die Beschleunigung der Verfahren ist. Ist nicht die Zweckbindung der Daten geradezu "Gift" für eine effektive, schlanke Verwaltung, die einmal erhobene Daten möglichst "ökonomisch" nutzen möchte? Wäre es letztendlich nicht das beste, jeder Bürger bekäme ein einheitliches Personenkennzeichen, unter dem alle über ihn gespeicherten Daten zusammengefaßt und genutzt werden könnten? Wieviel Leerlauf, Doppelarbeit, Leistungsmißbrauch, Steuerhinterziehung usw. könnte man auf diese Weise vermeiden?

So ließe sich vielleicht ein makellos effektiver Verwaltungsapparat erreichen. Er hätte aber mit dem Staat des Grundgesetzes nur noch wenig gemein. An die Stelle eines offenen, auf Kooperation angelegten Verhältnisses zwischen Staat und Bürgern würden letztere sich aus Furcht vor dem allwissenden Staat abkapseln und der Verwaltung mit Mißtrauen und Argwohn begegnen. Der durch und durch effektive Staat hätte das Vertrauen seiner Bürger verloren. Es ist deshalb notwendig, daß die Modernisierungsdebatte nicht einseitig auf die Kostenfrage reduziert wird, sondern daß auch der modernisierte Staat noch seine Qualität als demokratischer Rechtsstaat behält.

Mehr und mehr entwickelt sich das Gesundheitswesen zu einem Brennpunkt des Datenschutzes. Das jahrhundertealte Patientengeheimnis sieht sich mit geradezu revolutionären technischen Entwicklungen konfrontiert. Die Computer sind dabei, die Welt der Medizin in einer Weise zu verändern, die noch vor wenigen Jahren unvorstellbar war (vgl. Tz. 4.8.4). Dabei geht es auf dem "Medizinmarkt" um harte Interessen. Immerhin werden in Deutschland auf diesem Sektor pro Jahr ca. 450 Milliarden DM ausgegeben. Trotz dieser enormen Summe beherrscht das Thema "Sparen" die Diskussion. Gewiß ist es ein wichtiges Anliegen, zu teure oder überflüssige Behandlungsmethoden herauszufinden. Dies darf aber nicht einseitig zu Lasten der Privatsphäre der Patienten gehen. Viele wollen den "gläsernen Patienten", um gleichsam durch ihn hindurch Ärzte, Zahnärzte oder Krankenhäuser besser kontrollieren zu können. Uns ist es deshalb ein besonders Anliegen, daß das Patientengeheimnis nicht ständig ausgehöhlt, sondern statt dessen revitalisiert und gestärkt wird. Dabei macht man die Erfahrung, daß viele den Datenschutz besonders dann goutieren, wenn er mit den eigenen Interessen übereinstimmt. Wenden wir uns gegen neue Abrechnungs- und Kontrollverfahren der Kassen gegenüber den Ärzten, weil sie das Patientengeheimnis gefährden, erhalten wir Beifall aus der Ärzteschaft (vgl. Tz. 4.8.2). Wenden wir uns mit genau der gleichen Argumentation gegen die Forschung mit nicht anonymisierten Patientendaten ohne Einwilligung der Betroffenen, reichen die Reaktionen von dem Vorwurf, wir gefährdeten Wissenschaft und Forschung, bis hin zum "Aussitzen" des Problems (vgl. Tz. 6.7.2).

1.1.3

Beratung


Zu einem entscheidenden Faktor unserer Arbeit hat sich die Beratung entwickelt. Es ist durchaus positiv zu werten, daß uns immer mehr Behörden mit Beratungsersuchen geradezu überschütten. Die Skala reicht von umfangreichen, mehrbändigen Verfahrenskonzeptionen (vgl. Tz. 6.2) über die Sitzungsvorlage für die Ratsversammlung am gleichen Tag ("Könnten wir die Antwort per Fax noch heute erhalten?") bis hin zum Griff zum Telefon. Manche Mitarbeiter verbringen inzwischen einen großen Teil ihrer Dienstzeit mit telefonischen Beratungen.

Wir begrüßen diese Entwicklung, weil sie zeigt, daß der gute Wille bei vielen Stellen durchaus vorhanden ist. Es ist allemal besser, Fehler bei der Verarbeitung personenbezogener Daten von vornherein zu vermeiden, statt sie hinterher zu kritisieren. Viele Behörden haben auch entdeckt, daß wir außer effektivem Grundrechtsschutz nichts verkaufen wollen. Man weiß objektiven Rat bei der Vielfalt der Angebote auf dem Computermarkt zu schätzen. Es kommt immer häufiger vor, daß sich an einen Kontrollbesuch Beratungsgespräche von doppelter Länge anschließen. Dies kostet Zeit, bringt aber für den Datenschutz der Bürgerinnen und Bürger zählbare Vorteile.

Beträchtlichen Anteil an dieser Entwicklung hat die DATENSCHUTZAKADEMIE (vgl. Tz. 11.). Sie hat sich drei Jahre nach ihrer Gründung als Fortbildungseinrichtung etabliert. Die Kurse sind gut besucht, obwohl wir ihre Zahl Jahr für Jahr kontinuierlich gesteigert haben. Auch dies ist als ein Zeichen zu werten, daß es am guten Willen nicht mangelt, die datenschutzrechtlichen Vorschriften zu beachten. In diesem Bericht findet sich eine Kurzfassung des Jahresprogramms der DATENSCHUTZAKADEMIE. Im Text werden mit diesem Zeichen

Hinweise auf thematisch einschlägige Veranstaltungen gegeben. Daraus wird ersichtlich, daß für uns Kontrolle, Beratung und Fortbildung eine Einheit bilden.

1.2

Die Ausstattung der Dienststelle

Die Dienststelle besteht jetzt aus 18 Mitarbeiterinnen und Mitarbeitern, Vorzimmerkraft, Schreibdienst, Registratur inclusive. Blickt man auf die letzten Jahre zurück, so ist festzustellen, daß seit 1993 der Personalbestand statistisch gesehen um 50 % zugenommen hat. Dies ist eine positive Entwicklung, die unterstreicht, wie sehr das Parlament in den vergangenen Jahren die Notwendigkeit einer effektiven Datenschutzkontrolle gesehen hat. In Zeiten, in denen tagaus, tagein von Sparen, Verschlankung und Personalabbau die Rede ist, ist dies alles andere als selbstverständlich. Schleswig-Holstein kann mit dieser Personalausstattung einen guten Mittelplatz unter den deutschen Datenschutzbehörden halten.

Diese erfreulichen Feststellungen erscheinen allerdings in einem anderen Licht, wenn man die zu bewältigenden Aufgaben etwas näher unter die Lupe nimmt. Dann zeigt sich nämlich, daß die elektronische Datenverarbeitung im gleichen Zeitraum um ein Vielfaches angewachsen ist.


Diese Grafik bedarf natürlich der Interpretation:

  • Für das gleiche Geld bekommt man 1996 etwa doppelt soviel Computerleistung wie 1993. Die Informationstechnik wird ständig besser, aber auch schwerer zu kontrollieren. Als die Amerikaner ihre Apollo-13-Kapsel zum Mond schickten, hatten sie etwa die Rechnerleistung von zwei einfachen PC an Bord. Damit würde sich heutzutage eine Kommune mit 5 000 Einwohnern nicht mehr begnügen.
  • Innerhalb der Gesamtsumme der Aufwendungen für EDV im Landeshaushalt vollziehen sich seit Jahren beträchtliche Verschiebungen. Der Anteil der Entgelte an die Datenzentrale sinkt kontinuierlich. Dies bedeutet: die Landesbehörden setzen mehr und mehr eigene Verfahren ein, was zu Technik- und Verfahrensvielfalt und damit zu einer Erschwerung der Kontrollaufgabe führt.

  • Die Grafik enthält nicht das gesamte Kontrollfeld, da z.B. die Kammern und Hochschulen nicht mitgerechnet sind.

  • Die Zahlen für den kommunalen Sektor sind nicht exakt zu ermitteln. Wir sind bei unserer Schätzung vorsichtig gewesen, so daß die Summen tatsächlich eher höher liegen dürften.

  • In den kommenden Jahren werden sich die Zahlen für die Aufwendungen auf dem EDV-Sektor dramatisch nach oben entwickeln. Im Landesbereich steht eine Bugwelle riesiger Investitionen im EDV-Bereich bevor (vgl. Tz. 6.2). Auch in den Kommunen ist für die Jahre 97-99 ein außergewöhnlicher Investitionsschub zu erwarten, da die derzeit bei den meisten Kommunalverwaltungen betriebenen Systeme veraltet sind und vor dem Jahr 2000 abgelöst werden sollen.

Alles in allem ist die Entwicklung der Automatisierung also sogar wesentlich beeindruckender, als es die Statistik ausdrücken kann. In jedem Falle verdeutlicht sie aber, daß sich die Schere zwischen den realen Kontrollmöglichkeiten des Landesbeauftragten für den Datenschutz und der Ausstattung der Behörden mit immer mehr Computern ständig weiter öffnet. Der Zeitpunkt ist absehbar, zu dem wir allenfalls noch eine Feigenblattfunktion erfüllen können.

Bei dieser Sachlage muß die Politik eine Richtungsentscheidung treffen: Entweder sie läßt die Entwicklung treiben und nimmt in Kauf, daß sich die elektronische Datenverarbeitung bei den staatlichen Stellen immer stärker unkontrolliert entwickelt. Oder sie möchte gewährleisten, daß die Grundrechte der Bürgerinnen und Bürger auch im Informationszeitalter effektiv geschützt werden. Dann allerdings muß eine Verbindung zwischen der Anschaffung von immer mehr Computern und der Ausstattung der Kontrollinstanz gesehen werden. Dies bedeutet, daß von vornherein ein Prozentsatz der Ausgaben für neue Computer für deren Kontrolle einkalkuliert werden muß. Dies bedeutet auch, daß ein Teil des Personals, das durch Computereinsatz in den Verwaltungen eingespart wird, bei der Datenschutzkontrolle zusätzlich eingesetzt werden muß. Kurzum: Die Dynamik der Haushaltsansätze für die Datenschutzkontrolle muß mit der Dynamik der Haushaltsansätze für Computersysteme Schritt halten. Wer überall in den Verwaltungen Personal einspart und durch Computer ersetzt, ohne daß die Möglichkeiten der Datenschutzkontrolle in angemessener Weise verbessert werden, gefährdet das Recht auf informationelle Selbstbestimmung. Es führt kein Weg an weiteren Verstärkungen der Datenschutzkontrolle vorbei, wenn man nicht bewußt das Risiko in Kauf nehmen möchte, daß das Grundrecht auf Datenschutz der Bürgerinnen und Bürger mehr und mehr ins Hintertreffen gerät.


Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel