20. TB (1998) - Zur Situation des Datenschutzes in Schleswig-Holstein

20. Tätigkeitsbericht (1998)

1.	Zur Situation des Datenschutzes in Schleswig-Holstein
1.1	Datenschutz im Wandel
	1998 jährt sich zum 20. Mal das Inkrafttreten des ersten schleswig-holsteinischen Landesdatenschutzgesetzes. Ebensolange besteht die Dienststelle des Landesbeauftragten für den Datenschutz. Dies wäre sicher Anlaß für Rückblicke, Bilanzen, Anekdoten, Stolz über das Erreichte und Hader mit den Mißerfolgen sowie für Lob und Anerkennung an die Adresse der Mitarbeiterinnen und Mitarbeiter, die über all die Jahre mit viel Engagement für die Sache des Grundrechtsschutzes der Bürgerinnen und Bürger gefochten haben. Indes, der Blick zurück kann auf einem so dynamischen Feld wie dem Datenschutz nur von kurzer Dauer sein. Nichts charakterisiert dieses Thema besser als der Blick nach vorne, die Vorbereitung auf die Aufgaben von morgen. Die vielbeschworene Informationsgesellschaft wirft ihre Schatten voraus. Überall spüren wir den Wind der Veränderung und den Willen der Politik, nur nichts zu versäumen und auf jeden Fall ganz vorne dabeizusein. Wie immer diese Informationsgesellschaft von morgen aussehen mag, eines ist gewiß: Ohne einen funktionierenden Datenschutz und ohne eine ausreichende Datensicherheit wird sie im Chaos enden. Nicht, daß sie technisch nicht funktionieren könnte. Aber die Menschen werden den Weg in die Informationsgesellschaft nicht mitgehen, wenn sie dies mit dem Verlust ihrer Privatsphäre und dem Abbau ihrer Grundrechte bezahlen müssen. Deshalb warten auf den Datenschutz in den kommenden Jahren schwierige Aufgaben. Sich rechtzeitig darauf einzustellen, ist wichtiger als ein selbstgefälliger Rückblick auf das Erreichte. Noch ist kein schlüssiges Konzept für den Datenschutz im kommenden Jahrzehnt entwickelt. Analysiert man aber die Fakten, wird in Umrissen erkennbar, welche Veränderungen zwangsläufig vorgenommen werden müssen: Eine neue Rezeption des Volkszählungsurteils! Das Volkszählungsurteil von 1983 war einer der wichtigsten "Erfolge", die der Datenschutz in den vergangenen beiden Jahrzehnten errungen hat. Es hat ihn mit Verfassungsrang in der Staatspraxis etabliert und allen Auffassungen, es handle sich um eine vorübergehende Modeerscheinung, eine klare Absage erteilt. Allerdings haben sich nicht alle Erwartungen erfüllt, die das Urteil geweckt hat. Datenschutzbeauftragte und Bürger mußten die Erfahrung machen, daß immer mehr gesetzliche Vorschriften nicht automatisch auch mehr Datenschutz bedeuten. Das grundlegende Mißverständnis, dem Bundesverfassungsgericht sei es in erster Linie um die Schaffung neuer gesetzlicher Grundlagen gegangen, führte zu einer Gesetzeslawine ohnegleichen. Da die dem Gesetzgeber obliegende Prüfungsfrage, ob den Bürgern die betreffenden Daten überhaupt abverlangt werden müssen, von der Verwaltung stets umgehend mit "Ja" beantwortet und auf Wunsch auch wortreich begründet wurde, folgten Jahre nach dem Motto: Man darf im Prinzip "alles", man muß nur eine gesetzliche Grundlage schaffen. Auf diesem Weg sind eine Reihe von Normen entstanden, auf denen zwar außen "Datenschutz" draufsteht, in denen aber kein oder nur wenig Datenschutz drin ist. Gesetze, die von dem Ehrgeiz beseelt sind, für alle denkbaren Verarbeitungs- und Nutzungsvarianten vorsorglich Rechtsgrundlagen zu schaffen, enthalten eine Fülle von Sonder-, Ausnahme- und Ausnahme-von-der-Ausnahmetatbeständen, sind nur schwer lesbar und alles andere als normenklar. Sie frustrieren die Behörden, weil das, was sie glauben ohnehin tun zu müssen, nunmehr in komplizierten Vorschriften detailliert geregelt ist, und sie führen zur Resignation der Bürger, die die Feststellung machen müssen, daß solche Gesetze zwar vermeintlich umfängliche "Datenschutzbestimmungen" enthalten, im Kern aber nur das Handeln der Behörden formalrechtlich perfekt absichern. Für die Zukunft ist daraus der Schluß zu ziehen, daß die Schaffung von Rechtsgrundlagen die Position der Bürger nicht per se verbessert. Die Grundsätze der Datenvermeidung und Datensparsamkeit müssen von Gesetzgeber und Verwaltung ernster als bisher genommen werden. Nicht jedes Detail muß gesetzlich geregelt werden. In Bereichen, die nicht so sensibel wie z. B. der Gesundheits-, Sozial- oder Sicherheitsbereich sind, muß ein gesunder Mix von fairen Generalklauseln und Spezialvorschriften angestrebt werden. Das Datenschutzrecht darf seinen Vertrauensbonus nicht durch einen Etikettenschwindel verlieren, der aus Schutzbestimmungen Eingriffsermächtigungen macht. Neue Prioritäten setzen! Die Datenschutzbeauftragten müssen sich bei ihrer Tätigkeit stärker auf die wirklich wichtigen Probleme konzentrieren. Sonst entsteht die Gefahr der Bürokratisierung und Zerfaserung ihres Handelns mit manchmal skurrilen Ergebnissen. Bezeichnenderweise werden sie zu verqueren Randfragen oft und gerne von denjenigen als Schiedsrichter angerufen, die im übrigen mit dem Datenschutz nicht allzuviel im Sinn haben. Beamte, die bei ihrer Tätigkeit mit dem Datenschutz der Bürger eher lax umgehen, rufen dann den Datenschutzbeauftragten an, wenn es um die Frage geht, ob ihr Name auf dem Türschild ihres Dienstraumes oder im Geschäftsverteilungsplan erscheinen darf. Auch in anderen Bereichen finden sich merkwürdige Ungereimtheiten. Die Datenschutzbeauftragten beklagen beispielsweise seit Jahren vergeblich, daß die Prozeßordnungen kaum Datenschutzbestimmungen enthalten, so daß selbst sensibelste Prozeßakten nur unzulänglich vor Mißbrauch geschützt sind. Auf der anderen Seite fragen immer wieder ernsthaft einzelne Richter nach, ob ihre Pflicht, die Urteile namentlich zu unterzeichnen, nicht gegen den Datenschutz verstößt. Die Verzettelung und Marginalisierung kann vermieden und die Konzentration auf die zentralen Anliegen des Datenschutzes kann erleichtert werden, wenn ein wichtiger Satz des Volkszählungsurteils in Zukunft stärker beachtet wird. Zwar hat das Gericht zu Recht betont, daß es kein von vornherein belangloses Datum gibt, aber hinzugefügt, daß es entscheidend auf den Verwendungszusammenhang ankommt. Die Verwendungszusammenhänge transparent zu machen und zu bewerten, wird künftig für die Datenschutzbeauftragten eine der Aufgabenstellungen mit höchster Priorität sein. Die Technik zum Verbündeten machen! Bei vielen Betrachtern hat der Datenschutz bisher offenbar den Eindruck erweckt, letztlich sei er ein Instrument zur Technikverhinderung; immerhin betonen einige Passagen des Volkszählungsurteils die besonderen Risiken der automatisierten Datenverarbeitung ausdrücklich. Richtig daran ist, daß aus den Möglichkeiten der Datenverarbeitungstechnik große und neuartige Risiken für das Persönlichkeitsrecht und die Privatsphäre entstehen. Andererseits erwachsen aus der Technik auch mehr und mehr Instrumente für einen wirksameren Schutz der genannten Rechtsgüter, als es in der Vergangenheit möglich war. Datenvermeidung, Anonymisierung, Pseudonymisierung und Verschlüsselung sind nur einige Beispiele dafür, welch mächtigen Verbündeten die Privatsphäre in der Technik haben kann. Die Aufgabe der Datenschutzbeauftragten wird in den kommenden Jahren sein, den Aspekt "Datenschutz durch Technik" zu einem zentralen Ansatz zu machen. Sie werden dabei, nicht nur bei den Bürgern, sondern - das ist allerdings neu - insbesondere bei den Technikern auf Verbündete treffen. Die in Deutschland gerade beginnende Diskussion über den Erhalt der Freiheit, Daten nach Belieben zu verschlüsseln, vermittelt einen ersten Eindruck davon, welche bisher nicht für möglich gehaltenen Allianzen zwischen Datenschutz, Herstellern, Wirtschaft und Informatik sich entwickeln werden. Den größeren Zusammenhang sehen! Den Datenschutz als eindimensionales, isoliertes Abwehrrecht zu betrachten, greift zu kurz. Statt dessen muß er als Teil einer sich langsam aber kontinuierlich entwickelnden, umfassenden neuen Informationsordnung begriffen und praktiziert werden. Die Technik setzt dabei die Rahmenbedingungen. Die klassischen Trennlinien zwischen isolierter Datenverarbeitung, Telekommunikation und Medien verschwinden immer mehr und machen Platz für eine umfassende Konvergenz der Systeme. Hierauf muß auch der Datenschutz Bezug nehmen. Zu berücksichtigen ist aber auch folgendes: Auf Dauer werden die Bürger ein allgemeines Zugangsrecht zu staatlichen Informationen und womöglich auch zu Informationen großer privater Wirtschaftsunternehmen durchsetzen. Soeben hat die Europäische Union in Artikel 255 des Vertrages von Amsterdam einen Meilenstein auf dem Weg dorthin gesetzt und den Zugang zu den Dokumenten des Europäischen Parlamentes, des Rates und der Kommission für jedermann eröffnet. Es ist nur eine Frage der Zeit, bis auch die Parlamente in Deutschland auf breiter Front den allgemeinen Informationszugang beschließen werden. Dem Datenschutz kommt bei diesem Vorgang nicht die Bremserrolle zu, sondern die Aufgabe, einen abgewogenen Ausgleich zwischen dem Recht auf Informationszugang und der Pflicht zur Beachtung der grundrechtlichen Belange derjenigen herzustellen, deren personenbezogene Daten auf diese Weise gegebenenfalls in die Öffentlichkeit gelangen könnten. Serviceorientierung ist gefragt! Daß die Datenschutzbeauftragten in der Vergangenheit mit ihren Kontrollen wesentliche Rechtsverstöße aufgedeckt und beseitigt haben, ist unter Fachleuten unbestritten. Der breiten Öffentlichkeit ist aber nicht bewußt geworden, daß die Republik ein anderes Aussehen hätte, wenn es in den vergangenen zwanzig Jahren keine Datenschutzkontrollen gegeben hätte. Auch in Zukunft sind deshalb effektive Kontrollen unverzichtbar. Wenn der Staat seine Datenerhebung zum Beispiel im Sicherheitsbereich immer mehr mit heimlichen Methoden betreibt, müssen sich die Bürgerinnen und Bürger darauf verlassen können, daß diese für sie undurchschaubare Datenverarbeitung wirksam kontrolliert wird. In offenen Netzen wie dem Internet versagen aber traditionelle staatliche Kontrollmethoden. Diese Erfahrung müssen gerade naßforsche Staatsanwälte machen, die das Internet mit herkömmlichen Mitteln "sauberhalten" wollen. Auch die Datenschutzbeauftragten können den Datenschutz der Bürger im Internet mit ihren bisherigen Kontrollmethoden nicht mehr garantieren. Die Betroffenen können sich aber selbst wirksam und effektiv schützen, z. B. durch Verschlüsselung. Hierbei brauchen sie die Unterstützung durch fachkundige Berater. Darauf müssen sich die Datenschutzbeauftragten rechtzeitig einstellen. Neben der traditionellen Kontrolle wird der Service der Datenschutzbeauftragten als "Kompetenzcenter" in allen Fragen des Datenschutzes und der Datensicherheit eine immer größere Bedeutung erhalten. Auch gegenüber den Behörden sind nicht nur Überzeugungsarbeit und unzweideutige Kritik bei Rechtsverstößen, sondern ebensosehr die Unterbreitung brauchbarer, überzeugender Handlungskonzepte gefragt. Konzentration der Kräfte! Last but not least wird es höchste Zeit, daß die Kräfte und Mittel der Datenschutzkontrolle konzentriert und durch Gewinnung von Synergieeffekten optimiert werden. Es ist kaum jemandem zu vermitteln, daß in vielen Ländern, so auch in Schleswig-Holstein, die ohnehin geringen personellen und sachlichen Ressourcen für den Datenschutz noch einmal zwischen der Kontrolle über den öffentlichen und die Aufsicht über den privaten Bereich aufgespalten werden. Bürger, die sich an uns wenden, haben kein Verständnis dafür, wenn wir sie nach Erläuterung der komplizierten Zuständigkeitsregeln an die Aufsichtsbehörde verweisen müssen. Die dortigen Kollegen machen die gleichen Erfahrungen. Aus der Sicht der Bürger ist diese Zersplitterung der Zuständigkeiten das Gegenteil von Bürgerservice, Kundenorientierung und Effektivierung der Verwaltung. Die Modernisierung der öffentlichen Verwaltung ist mit einer zunehmenden Verwischung der Grenzen von öffentlichem Recht und Privatrecht verbunden. Es kann nicht sein, daß die Datenschutzkontrolle je nach gewählter Rechtskonstruktion zwischen Datenschutzbeauftragten und Aufsichtsbehörden hin und her pendelt. So ist z. B. untragbar, daß Kliniken, solange sie in öffentlicher Trägerschaft sind, unserer Kontrolle, sobald sie privatisiert werden, der Kontrolle durch den Innenminister unterliegen. Sicher, wir stimmen unsere Positionen auf diesem schwierigen Feld mit hohem Aufwand ab. Ganz ausschließen kann man allerdings nicht, daß beim gleichen Problem mit zweierlei Maß gemessen wird, nur weil die Rechtsform der Trägerschaft unterschiedlich ist. Die Patienten müssen sich aber darauf verlassen können, daß die Beachtung des Arztgeheimnisses stets in gleicher Weise gewährleistet ist, egal ob sie sich in eine Privatklinik oder in ein kommunales Krankenhaus begeben. Die Datenschutzkontrolle ist in Deutschland personell und sachlich so kümmerlich ausgestattet, daß die Zersplitterung der Kräfte ein unhaltbarer Anachronismus ist. Den Luxus von Minibehörden, die bei faktisch gleicher Aufgabenstellung nebeneinanderherarbeiten, können wir uns in der gesamten staatlichen Verwaltung nicht länger leisten, schon gar nicht bei der Datenschutzkontrolle. Die Aufgaben der Zukunft können nur mit einer Konzentration der Kräfte gemeistert werden. Deshalb sollten die Kontrolle über den öffentlichen Bereich und die Aufsicht über den Privatbereich so schnell wie möglich zusammengelegt und als völlig unabhängige Kontrollbehörde ausgestaltet werden, so wie das die Datenschutzrichtlinie der Europäischen Union vorschreibt. Darüber hinaus müssen neue Formen der Kooperation zwischen den Kontrollbehörden der Bundesländer sowie im internationalen Rahmen erprobt werden. Im Zeitalter des Internets ist Kleinstaaterei auf dem Gebiet der Datenschutzkontrolle nicht mehr zeitgemäß.
1.2	Ergebnisse der Kontrollen
	Wie in jedem Jahr bildeten auch 1997 die Kontrollen vor Ort das Kernstück unserer Tätigkeit. Große "Skandale" gibt es nicht zu vermelden. Neben vielen Kritikpunkten im Detail gab es sogar ausdrücklich lobenswerte Resultate (vgl. Tz. 4.8.3 und Tz. 6.7.3). Die vielen datenschutzrechtlichen Beanstandungen der Vergangenheit beginnen offenbar Früchte zu tragen. Die Behörden tauschen mehr und mehr unsere Prüfberichte untereinander aus und versuchen, Mängel von vornherein zu vermeiden. Auch die Kurse der DATENSCHUTZAKADEMIE SCHLESWIG-HOLSTEIN zeigen Wirkung und tragen zu einem spürbar höheren Datenschutzniveau bei. Gleichwohl gab es auch in diesem Jahr genug zu kritisieren. Häufig wird unterschätzt, daß auch vermeintlich kleine Fehler für den Betroffenen spürbare Folgen haben können. Da Datenschutz Gefahrenabwehr ist, gilt es, derartige Risikofaktoren nach Möglichkeit an der Wurzel zu bekämpfen, bevor sie Schaden verursachen. Beispiele für Mängel, die wir nach Kontrollen zu beanstanden hatten: zu lange Aufbewahrung von Akten über Verkehrssünder (Tz. 4.6.2), automatische Übersendung der kompletten Sozialhilfeakten bei jedem Wohnsitzwechsel (Tz. 4.7.3), routinemäßige Abforderung von Blankovollmachten von Sozialhilfeempfängern (Tz. 4.7.2), Vorabinformation der Psychologen bei medizinisch-psychologischen Untersuchungen ohne Kenntnis des Betroffenen (Tz. 4.6.1), Einsatz einer Videokamera in der Antragsstelle eines Sozialgerichts (Tz. 5.1), regelmäßige Unterrichtung der Fachvorgesetzten über Gehaltspfändungen (Tz. 4.11.1). Erstmals haben wir im vergangenen Jahr mit einem neuen Prüfkonzept den sorgfältigen Umgang mit personenbezogenen Daten im Behördenalltag geprüft (Tz. 4.12). Dabei erhielten die Behörden zwar vorher eine abstrakte "Vorwarnung", die eigentliche Prüfung erfolgte aber unangemeldet. Die Prüfer gerierten sich dann wie "neugierige Besucher". Was sie dabei zu sehen bekamen, war teilweise besorgniserregend. Die Gedankenlosigkeit, mit der z. B. Bürotüren offenstanden, obwohl sensible Sozialdaten auf dem Tisch lagen, Unterlagen über ein Strafverfahren einfach in den Papierkorb auf dem offenen Flur geworfen wurden, Akten mit brisantem Inhalt frei zugänglich bis zur Vernichtung "zwischengelagert" wurden, führte zu zahlreichen Beanstandungen. Andererseits konnte man aber bei einigen Behörden auch angenehm überrascht sein, wie sorgsam die Aspekte der Datensicherheit beachtet wurden. Insgesamt sind die Ergebnisse der bisher durchgeführten "angekündigten unangekündigten Kontrollen" (sogenannte AUK) also gemischt. Wir werden die Aktion in diesem Jahr fortsetzen. In dem Maße, in dem die Informationstechnik Einzug in die öffentliche Verwaltung hält, verlagert sich unsere Kontrolltätigkeit immer mehr auf die technisch-organisatorischen Aspekte. Hier lag auch im Berichtsjahr der Schwerpunkt unserer Aktivitäten. Die festgestellten Mängel auch bei neu eingeführten EDV-Verfahren waren teilweise erschreckend. Das Problematische ist, daß sie nicht immer sofort zu Schäden und Nachteilen führen. Langfristig tickt aber eine Zeitbombe, wenn die Automatisierung der Datenverarbeitung vor allem in kleineren und mittleren Behörden im gleichen Stil wie bisher weiterbetrieben wird. Es muß zu denken geben, daß wir - von löblichen Ausnahmen abgesehen (Tz. 6.7.2 und Tz. 6.7.3) - immer wieder die gleichen Feststellungen treffen mußten: fehlende Vorstellung, was eigentlich mit Hilfe des EDV-Systems erreicht werden soll, fehlendes Sicherheitskonzept, mit dem gewährleistet werden soll, daß nicht erwünschte Effekte auch wirksam verhindert werden, ungenügende Tests, fehlende EDV-Schulung der Mitarbeiter, daraus folgend die zunehmende Einschaltung unkontrollierbarer externer Dienstleistungsfirmen. Uns beunruhigen diese Mängel insbesondere, weil niemand die Einhaltung der Datenschutzbestimmungen wirklich gewährleisten kann, wenn er sein EDV-System mangelhaft konzipiert und in der Folge dann nicht beherrscht. Nicht beherrschbare EDV-Systeme sind langfristig eine Bedrohung der Revisionsfähigkeit des Verwaltungshandelns insgesamt (Tz. 6.6). Es ist alarmierend, wenn uns gestandene Bürgermeister oder Kämmerer eingestehen, sie könnten seit Einführung ihrer neuen EDV-Verfahren nicht ruhig schlafen. Sie würden von der Sorge umgetrieben, daß sie die Verantwortung das Verwaltungshandeln ihrer Behörde nicht wie bisher übernehmen könnten. Dabei ist eine ordnungsgemäße, sichere Datenverarbeitung durchaus keine Hexerei. Auch wenn es gar kein Datenschutzrecht gäbe, leuchtet ein, daß die Einführung neuer EDV-Verfahren nach folgenden Gesichtspunkten abgewickelt werden muß: Es muß klar sein, daß automatisierte Verwaltungsabläufe sich nicht im Einsatz von Computern erschöpfen, sondern ein Zusammenspiel von Hardware, Software, Datenbeständen sowie Aufbau- und Ablauforganisation sind. Wird eine Komponente vernachlässigt, werden alle anderen in Mitleidenschaft gezogen. Wer ein IT-System plant, muß am Ende der Planungsphase wissen, was er will. Schreibt er diese Absichten auf, hat er ein nachvollziehbares IT-Konzept. Dies darf kein Feigenblatt, sondern muß die Bauzeichnung sein, nach der das System aufgebaut wird. Auf dieser Grundlage läßt sich dann das Sicherheitskonzept erstellen, in dem beschrieben wird, wie erreicht werden soll, daß das IT-System (nur) so funktioniert, wie es im IT-Konzept und in den gesetzlichen Bestimmungen festgelegt ist. Dabei sind nicht akademische Abhandlungen gefragt, sondern konkrete Handlungsanweisungen zur Abwehr konkreter Risiken in einer konkreten Behörden. Vor dem Echtbetrieb sind Tests durchzuführen. Da vor allem kleinere und mittlere Behörden derartige Tests nicht selbst durchführen können, müssen Wege der Kooperation gefunden werden. Hier sind vor allem die kommunalen Landesverbände gefordert. Alle Komponenten des IT-Systems sowie alle Aktivitäten zur Durchführung von Veränderungen sind so zu dokumentieren, daß sie für die Verantwortlichen und für sachverständige Dritte nachvollziehbar sind. Alle Mitarbeiter, die mit dem IT-System arbeiten oder seinen korrekten Einsatz verantworten, müssen rechtzeitig geschult werden. Sollen externe Dienstleister z. B. für Reparatur- und Wartungsarbeiten eingesetzt werden, müssen exakte vertragliche Regelungen getroffen werden. Dabei muß auch festgelegt sein, daß die Aktivitäten der externen Dienstleister in einer Weise zu dokumentieren sind, daß die Verwaltung auch ihnen gegenüber das Heft in der Hand behält. Wir haben im Berichtsjahr wieder erhebliche Kapazitäten in die Beratung der Behörden, die ein neues IT-Verfahren planten, gesteckt. Häufig waren unsere Mitarbeiter tagelang damit beschäftigt, einer einzelnen Kommune bei der Erstellung ihrer EDV-Konzeption unter die Arme zu greifen. Dieser Einsatz zahlt sich aus. Bei EDV-Verfahren, die der Datenschutzverordnung entsprechen, sinkt das Risiko, daß es durch unsachgemäßen Technikeinsatz zu einer Verletzung der schutzwürdigen Belange der Bürgerinnen und Bürger kommt. Für die Kommunen hat unsere Beratung den angenehmen Nebeneffekt, daß sie sich entweder kostspielige Serviceleistungen von vornherein sparen können oder zigtausend Mark teure Consultinggutachten besser auf ihre Umsetzbarkeit prüfen können. So gesehen, erfüllt die Beratungstätigkeit den Servicegedanken auf zweierlei Weise: Sie nutzt dem informationellen Selbstbestimmungsrecht der Bürgerinnen und Bürger und hilft den Gemeinden, manche Mark zu sparen. Langfristig wird überdies der Kontrollbedarf gesenkt, wenn EDV-Systeme von vornherein datenschutzgerecht konzipiert werden.
1.3	Dateienübersicht veröffentlicht
	Die im Mai 1997 veröffentlichte Übersicht gibt erstmals einen Überblick über die Verarbeitung personenbezogener Daten in Dateien bei den Behörden in Schleswig-Holstein. Sie beruht auf den von den öffentlichen Stellen des Landes erstellten und uns zugesandten Dateibeschreibungen. Bei der Novellierung des Landesdatenschutzgesetzes im Jahre 1992 wurde eine Bestimmung eingefügt, wonach alle fünf Jahre in geeigneter Weise eine Dateienübersicht zu veröffentlichen ist. Das jetzt erstmals veröffentlichte Register bildet - obwohl keineswegs alle Behörden ihrer gesetzlichen Meldepflicht nachgekommen sind - einen eindrucksvollen Überblick über die Verarbeitung personenbezogener Daten in Schleswig-Holstein. Insgesamt sind mehr als 3 400 Dateien von etwa 500 Behörden erfaßt. Nicht erfaßt sind allerdings Speicherungen bei Bundesbehörden wie z. B. beim Kraftfahrt-Bundesamt oder bei den Arbeitsämtern und bei Wirtschaftsunternehmen wie Banken und Versicherungen, da diese Stellen nicht unserer Kontrolle unterliegen. Jeder Bürger kann sich leicht ausrechnen, daß er in Hunderten von Dateien registriert ist. Bislang hat das Datenschutzrecht dafür gesorgt, daß diese vielen Daten nicht alle zusammengeführt und zu einem detaillierten Persönlichkeitsprofil verknüpft werden dürfen. Die Veröffentlichung versteht sich deshalb auch als Appell, trotz Verschlankung, Modernisierung und Kosteneinsparung am Prinzip der Zweckbindung festzuhalten und nicht den gläsernen Bürger zu schaffen. Vielmehr ist die Übersicht ein Beitrag, umgekehrt die Datenverarbeitung der Verwaltung für den Bürger transparent zu machen. Anhand des Registers können die Bürgerinnen und Bürger prüfen, wo Daten über sie gespeichert sein könnten, um dort unter Umständen ihren Auskunftsanspruch geltend zu machen. Die Veröffentlichung ist aber auch ein Plädoyer, das Datenschutzgesetz weiterzuentwickeln und den raschen Veränderungen der Informationstechnik anzupassen. Das Datenschutzrecht muß stärker als bisher dezentrale Elemente aufnehmen. Es versteht sich von selbst, daß wir bei unserer Personalkapazität nur einen geringen Bruchteil der Datensammlungen überprüfen können. Auch die im Register erfaßten Dateien sind überwiegend datenschutzrechtlich noch nicht geprüft. Deshalb sollte schon vor Ort durch behördliche Datenschutzbeauftragte eine Vorkontrolle gewährleistet sein. In diesem Zusammenhang könnte dann auch auf die enorm zeit- und personalintensive Registrierung der Dateien an einer zentralen Stelle verzichtet und einzelne Register bei den Behörden geführt werden. Dort sind sie nämlich auch in Zukunft unverzichtbar, um den Überblick über die bei der datenverarbeitenden Stelle vorhandenen Datensammlungen zu behalten.
1.4	Die Ausstattung der Dienststelle
	In der Dienststelle sind derzeit 20 Mitarbeiterinnen und Mitarbeiter tätig. Wegen der schwierigen Haushaltssituation haben wir für 1998 keine neuen Stellen bekommen. Angesichts der ungebremsten Dynamik der Informationstechnik, die die Landesregierung auf allen Ebenen fördert und propagiert, können wir deshalb unsere Aufgaben nur durch Schwerpunktbildung und häufig überdurchschnittliches Engagement der Mitarbeiterinnen und Mitarbeiter erledigen. Die Ausstattung des IT-Labors ist weiter verbessert worden. Wir sind zunehmend in der Lage, neue Softwareprodukte unter datenschutzrechtlichen Aspekten genau unter die Lupe zu nehmen. Durch Einrichtung eines eigenen Testnetzes können datenschutzrechtliche Schwachstellen systematisch untersucht werden. Die Ergebnisse kommen Bürgern und Behörden im Rahmen unserer Beratungstätigkeit unmittelbar zugute. Nach wie vor tragen die Kurse der DATENSCHUTZAKADEMIE SCHLESWIG-HOLSTEIN (Tz. 12) zur Effektivierung unserer Arbeit bei. Wir können auf diesem Weg für unsere Forderungen und Ratschläge einen guten Multiplikatoreffekt erzielen. Die Ergebnisse der Kontrollen im Berichtsjahr zeigen, daß die in den Kursen gewonnenen Erkenntnisse offenbar auch in der Praxis umgesetzt werden.