22. Tätigkeitsbericht (2000)


1

Situation des Datenschutzes in Schleswig-Holstein

1.1

Gesetzgeber stellt das Informationsrecht auf eine zukunftsweisende Grundlage
Mit der Verabschiedung des neuen Landesdatenschutzgesetzes (LDSG) und des Gesetzes zum freien Zugang zu Informationen hat der Landtag das Informationsrecht auf eine neue Grundlage gestellt. Schleswig-Holstein, das bei der Entwicklung der Informationsgesellschaft gerne eine Vorreiterrolle einnehmen will, hat durch diese rechtlichen Rahmenregelungen zweifellos eine richtungsweisende Position eingenommen. Bemerkenswert ist zudem, dass das neue Landesdatenschutzgesetz von allen Fraktionen mitgetragen wurde und demgemäß ohne Gegenstimme verabschiedet werden konnte.

Die Novellierung des LDSG war zwar vorrangig notwendig geworden, weil die Europäische Datenschutzrichtlinie in Landesrecht umgesetzt werden musste. Die neuen Bestimmungen gehen aber weit über die Umsetzung der Richtlinie hinaus. Sie greifen aktuelle technische Entwicklungen auf und geben gesetzliche Spielräume für neue Ansätze im Datenschutz. Aus der Fülle der Veränderungen des Datenschutzrechts sind folgende besonders hervorzuheben:

  • Förderung datenschutzfreundlicher Techniken

Seit sich die Sommerakademie 1996 mit dem Thema "Datenschutz durch Technik” befasste, sind viele neue Ideen für einen Einsatz der Informationstechnik für einen besseren Schutz der Privatsphäre entwickelt worden. Einige davon haben Eingang in das neue Gesetz gefunden.

Die gesetzliche Verpflichtung der Behörden zur Datenvermeidung und Datensparsamkeit wird dazu beitragen, dass in vielen Fällen datenschutzrechtliche Risiken von vornherein vermieden werden. Alle Daten verarbeitenden Stellen müssen künftig vorrangig Produkte einsetzen, deren datenschutzgerechte Gestaltung in einem förmlichen Audit ("Produktsiegel”) festgestellt wurde. Das Audit-Verfahren wird die Landesregierung durch Verordnung regeln.

Die Begriffe Anonymisierung und Pseudonymisierung werden nicht nur gesetzlich definiert, die Verwendung pseudonymisierter Daten wird darüber hinaus z. B. bei der wissenschaftlichen Forschung oder bei der Datenübermittlung privilegiert. Dadurch wird ein Anreiz geschaffen, wo immer es geht, auf einen Personenbezug zu verzichten.

Die Verschlüsselung von Daten, mit deren Hilfe viele Risiken für die Vertraulichkeit von Informationen abgebaut werden können, wird definiert. Ihr Einsatz wird verbindlich vorgeschrieben, wenn Daten außerhalb der Dienststellen verarbeitet werden, z. B. durch Außendienstmitarbeiter.

  • Höherer Standard bezüglich der Sicherheit und Ordnungsmäßigkeit der Datenverarbeitung

Der bislang schon hohe Standard der schleswig-holsteinischen Datensicherheitsbestimmungen wird weiter verbessert:

Automatisierte Verfahren dürfen künftig nur eingesetzt werden, nachdem sie von der Dienststellenleitung förmlich freigegeben worden sind. Damit ist klargestellt, dass der Computereinsatz in der Verwaltung Chefsache und auch von der Chefebene zu verantworten ist.

Der Zugang zu Computersystemen ist zwingend davon abhängig zu machen, dass sich die betreffende Person durch ein Passwort o. Ä. identifiziert.

Die Arbeit von Systemadministratoren und anderen Personen, die zu Änderungen des Betriebssystems befugt sind, muss künftig protokolliert werden. Dies dient nicht nur dem Datenschutz, sondern es ist darüber hinaus ein wichtiger Beitrag zur Revisionssicherheit des Verwaltungshandelns.

  • Berücksichtigung der Verwaltungsmodernisierung

Das Gesetz berücksichtigt bereits die anstehenden Veränderungen in der öffentlichen Verwaltung. Notwendige Effizienzsteigerungen werden nicht durch datenschutzrechtliche Formvorschriften blockiert:

Wenn Verwaltungen künftig Informationen nur noch automatisiert und nicht zusätzlich auch in Akten speichern wollen, dann finden sie im neuen LDSG die dabei zu beachtenden Vorschriften.

Die Risiken bei der Einführung von Telearbeit werden bei Beachtung der Verschlüsselungsregelung für die ausgelagerten personenbezogenen Daten auf ein vertretbares Maß reduziert.

Wenn Behörden Dienstleistungen über das Internet anbieten, so können die eventuell notwendigen datenschutzrechtlichen Einwilligungen von Bürgerinnen und Bürgern auch über das Netz erteilt werden.

Damit das für den öffentlichen Bereich erforderliche Datenschutzniveau nicht durch Outsourcing umgangen wird, ist das Gesetz auch für Privatfirmen im Besitz der Verwaltung anwendbar. Außerdem gelten die Bestimmungen für die Auftragsdatenverarbeitung auch für externe Serviceunternehmen.

  • Gesetzliches Fundament für den neuen Datenschutz

Die Sommerakademie 1998 hatte das Thema "Der neue Datenschutz” diskutiert. Viele der damals entwickelten Vorstellungen für eine moderne Datenschutzkonzeption haben nunmehr ein solides gesetzliches Fundament erhalten.

Die Kontrollinstanzen für den Datenschutz im öffentlichen Bereich und in der Privatwirtschaft werden in Schleswig-Holstein zusammengelegt. Dadurch ergeben sich Synergieeffekte und mehr Bürgerfreundlichkeit.

Die Aufgaben werden künftig von einer neu gebildeten Anstalt des öffentlichen Rechts mit der Bezeichnung "Unabhängiges Landeszentrum für Datenschutz” wahrgenommen. Der Name ist Programm: Das Landeszentrum ist nicht in die Hierarchie der Verwaltung eingebunden und trägt damit den Anforderungen der Europäischen Datenschutzrichtlinie an die Unabhängigkeit von Datenschutzkontrollinstanzen Rechnung.

Neben die Kontrollen treten verstärkt Service, Beratung und Prävention in Fragen des Datenschutzes und der Datensicherheit sowie insbesondere die Beratung der Bürgerinnen und Bürgern zum besseren Selbstdatenschutz.

Das Unabhängige Landeszentrum hat ausdrücklich die Aufgabe erhalten, Fortbildungsveranstaltungen durchzuführen und damit zur Vermittlung von Medienkompetenz beizutragen.

Erstmals in Deutschland wird ein Datenschutzaudit für Verwaltungsbehörden eingeführt. Sie können ihre Datenschutzkonzeption künftig beim Unabhängigen Landeszentrum für Datenschutz zur Prüfung und Zertifizierung vorlegen.

  • Verschlankung des Datenschutzrechts

Das neue LDSG hat an vielen Stellen zu einer einfacheren und verständlicheren Sprache zurückgefunden. Außerdem werden die Weichen in Richtung auf eine Abkehr von der weiteren Verrechtlichung und bereichsspezifischen Zersplitterung des Datenschutzes gestellt:

Die Verarbeitung bestimmter, nicht besonders sensibler Daten kann jetzt unmittelbar auf das LDSG als Befugnisgrundlage gestützt werden. Eine Fülle von gleich oder ähnlich lautenden Generalklauseln in den Fachgesetzen sowie in kommunalen Satzungen ist künftig überflüssig.

Für die Einrichtung von Online-Verbindungen ist künftig kein Gesetz bzw. keine Rechtsverordnung mehr notwendig. Die schutzwürdigen Belange der Bürgerinnen und Bürger werden bereits durch detaillierte Verfahrens- und Sicherheitsbestimmungen im LDSG selbst gewahrt.

Ohnehin allgemein zugängliche Daten darf auch die Verwaltung unter erleichterten Bedingungen nutzen.

Alles in allem bietet das neue LDSG gute Chancen für eine Verbesserung des Datenschutzes der Bürgerinnen und Bürger unter veränderten technischen und gesellschaftlichen Bedingungen. Der Weg zu konsequenter Datensicherheit ist ohne Alternative. Das weltweite Zittern vor dem Jahr-2000-Problem und die horrenden Summen, die zu seiner Bewältigung ausgegeben werden mussten, dürften auch den letzten Zweiflern die Augen geöffnet haben. Rechtzeitige Datenschutz- und Datensicherheitsaufwendungen, konsequente Realisierung der Revisionsfähigkeit der Datenverarbeitung und Kontrolle sind alle Mal billiger als die Unsummen, die nachträgliche Korrekturen verschlingen. Der Weg in die Informationsgesellschaft ist ohne einen zeitgemäßen, wirksamen Datenschutz und das Grundprinzip der Transparenz demokratisch nicht zu verantworten. Das neue LDSG ist ein wichtiger Beitrag zur Erreichung dieses Ziels.

1.2

Neues Informationsfreiheitsgesetz verabschiedet
Zusammen mit dem LDSG hat der Landtag das Informationsfreiheitsgesetz für das Land Schleswig-Holstein (IFG-SH) verabschiedet. Das zeitliche Zusammentreffen unterstreicht die enge Verwandtschaft zwischen Datenschutz und Informationszugang. Beide Prinzipien haben ihre Wurzeln im Bild der aufgeklärten Bürgergesellschaft.

Das IFG-SH gewährt allen Bürgerinnen und Bürgern das grundsätzliche Recht des freien Zugangs zu allen Verwaltungsinformationen. Sie brauchen hierfür weder eine Begründung abzugeben noch sich auf Informationen zu beschränken, die sie selbst betreffen. Damit wird das Verhältnis zwischen Bürgern und Verwaltung auf eine neue Grundlage gestellt. Die nunmehr entstehende Transparenz der staatlichen Informationssammlungen ist ein Spiegelbild der stärkeren Betonung des Dienstleistungscharakters der Verwaltung.

Natürlich kann ein solcher Informationsanspruch nicht uneingeschränkt bestehen. Das IFG-SH enthält deshalb sorgfältig formulierte Ausnahmeklauseln. Auch die datenschutzrechtlichen Belange Dritter sind durch entsprechende Vorbehalte gesichert. Damit die Trennung personenbezogener Daten von den allgemein zugänglichen Informationen erleichtert wird, sehen sowohl das IFG-SH als auch das neue LDSG vor, dass Unterlagen möglichst von vornherein so organisiert werden, dass sie für unterschiedliche Verwendungszwecke leichter getrennt werden können.

Das neue Gesetz wird sicherlich einige Anlaufschwierigkeiten bereiten. Es sieht vor, dass sich Bürgerinnen und Bürger bei Streitfragen über seine Auslegung und Anwendung an das Unabhängige Landeszentrum für den Datenschutz wenden können. Außerdem hat das Landeszentrum auch in diesem Bereich seine Beratungs- und Serviceaufgaben. Auf diesem Wege soll vermieden werden, dass Auslegungsstreitfragen ausschließlich mithilfe der Gerichte geklärt werden müssen.

1.3

Schwerpunkte der Kontrolltätigkeit im abgelaufenen Jahr
Die im Berichtsjahr durchgeführten Kontrollen und Überprüfungen auf Grund von Beschwerden haben neben durchaus positiven Beispielen erneut Fälle von Schlamperei, unverantwortlichem Umgang mit der Informationstechnik und bedenklicher Gesetzesauslegung erbracht. Bei aller Akzeptanz und gestiegener Sensibilität aufseiten der Verwaltung ist der Datenschutz noch lange kein Selbstläufer. Es stellt sich immer wieder heraus, dass die Notwendigkeit eines überzeugenden und wirksamen Datenschutzkonzeptes entweder gar nicht gesehen oder die Verantwortung auf andere abgeschoben wird. So entstehen unvertretbare Risiken, die die Verwaltung von der Technik abhängig machen und das Recht auf informationelle Selbstbestimmung der Bürgerinnen und Bürger gefährden. Kontrollen bleiben deshalb auf absehbare Zeit ein unverzichtbarer Bestandteil einer effizienten Datenschutzkonzeption.

Besonders bedenklich ist es, wenn medizinische Daten in komplexen Informationssystemen erfasst und verarbeitet werden, ohne dass die rechtlichen Grenzen eingehalten werden (vgl. Tz. 6.5). Umso weniger ist es hinzunehmen, wenn festgestellte Mängel nur sehr zögerlich behoben werden (vgl. Tz. 6.4). Es ist zudem erstaunlich, wie unsensibel manchmal in Kliniken mit der Intimsphäre von Patienten umgegangen wird. Die Betroffenen sind nämlich häufig gar nicht in der Lage, sich während ihres Krankenhausaufenthaltes zu wehren. Wenden sie sich später an uns, so treten bisweilen haarsträubende Zustände zutage (vgl. Tz. 4.7.5).

In den Kommunen gibt es trotz aller Fortschritte fast bei jeder Kontrolle einiges zu beanstanden. Besonders zu erwähnen sind festgestellte Mängel bei der Fernwartung. Der Datenzentrale war es ohne weiteres möglich, sich auf den Datenverarbeitungssystemen ihrer kommunalen Kunden zur Nachtzeit umzusehen, ohne dass diese davon etwas geahnt hätten. Es fehlten klare Vereinbarungen ebenso wie wirksame Kontrollmechanismen. Und das, obwohl wir bereits 1994 detaillierte Kriterien für sichere Fernwartungsverfahren im Amtsblatt veröffentlicht hatten.

Digitale Telekommunikationsanlagen sind mit erheblichen Sicherheitsrisiken behaftet, da ihre Komfortmerkmale sich leicht missbrauchen lassen. Die Apparate können unter bestimmten Voraussetzungen wie Abhöranlagen sogar für Raumgespräche benutzt werden. Notwendig sind dafür nur Veränderungen in der Software. Wer nun glauben würde, dass die Aktivitäten der Systemadministratoren genau registriert und regelmäßig überprüft würden, muss durch das Ergebnis unserer Kontrollen enttäuscht werden (vgl. Tz. 6.2). Zumeist sind die Strukturen moderner Telekommunikationsanlagen so komplex, dass die Behörden offenbar kapitulieren und sich auf die Liefer- und Wartungsfirmen verlassen. Die besondere Brisanz dieser Konstellation liegt darin, dass das Land Schleswig-Holstein seine Telekommunikationsinfrastruktur insgesamt privatisieren möchte, inklusive so sensibler Bereiche wie Polizei, Gesundheitswesen oder Finanzverwaltung. Aus unserer Sicht ist dies ohne umfassende Sicherheitsvorkehrungen und insbesondere ohne Vorhaltung der für die Kontrolle der Einhaltung der Bestimmungen notwendigen personellen Kompetenz nicht zu verantworten (vgl. Tz. 6.3).

Seit die Senkung der Ausgaben für Sozialhilfe parteiübergreifend als Maßstab für erfolgreiche Politik gilt, sind die Überprüfungen von Sozialhilfeempfängern immer rigoroser geworden. Nicht dass der Datenschutz der Prüfung der Bedürftigkeit entgegenstünde oder gar die Aufdeckung von Betrug verhindern würde, aber auch Sozialhilfeempfänger haben einen Anspruch auf Fairness und Achtung ihrer Privatsphäre. Unsere Kontrollen fördern immer wieder Verstöße gegen die Bestimmungen des Sozialgesetzbuches zu Tage, die nicht akzeptabel sind (vgl. Tz. 4.6.3, Tz. 4.6.4 und Tz. 4.6.5).

Wenn Ausländer Deutsche heiraten, geschieht dies sicher gelegentlich auch nur zu dem Zweck, eine Aufenthaltsbewilligung zu bekommen. Daraus folgt aber nicht das Recht, alle bi-nationalen Ehepaare peinlichen Überprüfungen zu unterziehen. Gerade bei der Ermittlung von "Scheinehen” sind klare rechtliche Vorgaben und Taktgefühl bei der Durchführung notwendig. Eine Kontrolle förderte diesbezüglich dringenden Nachbesserungsbedarf zu Tage (vgl. Tz. 4.4.2).

1.4

Service, Beratung und Prävention
Wer unsere Tätigkeitsberichte über die Jahre vergleicht, kann feststellen, dass Service, Beratung und Prävention ein immer größeres Gewicht erhalten. Dabei kann nur ein Bruchteil dieses Tätigkeitsfeldes in diesem Bericht erfasst werden, weil sich die meisten Beratungen auf ganz spezielle Anwendungen beziehen und sich für eine allgemeine Berichterstattung nur bedingt eignen. Das Rückgrat der allgemeinen Beratungstätigkeit ist nach wie vor das Kursangebot der DATENSCHUTZAKADEMIE SCHLESWIG-HOLSTEIN, für das offenbar eine ungebrochene Nachfrage vorhanden ist (vgl. Tz. 14).

Zunehmend zahlen sich die Investitionen für das IT-Labor aus. Die dort durchgeführten Tests tragen nicht nur zur Verbesserung von Produkten bei. Die Testinstallationen erlauben auch eine praxisgerechte Beratung der Behörden, weil deren gebräuchlichste Datenverarbeitungssysteme "nachgebaut” und durchgecheckt werden können. Last but not least fließen die Ergebnisse aus dem IT-Labor in konkrete Tipps für die Bürgerinnen und Bürger ein, z. B. wie sie sich selbst im Internet am besten schützen können (vgl. Tz. 9).

Ebenfalls der Prävention und der vorausschauenden datenschutzgerechten Gestaltung von Produkten und Verfahren dienen die Modellprojekte (vgl. Tz. 8). Sie bieten die Möglichkeit, gemeinsam mit Entwicklern und Herstellern die Informationstechnik so zu designen, dass die Privatsphäre der Nutzer von vornherein berücksichtigt wird.

1.5

Die neuen Herausforderungen für die Dienststelle
Die Dienststelle hat sich in den letzten Jahren im Wege einer kontinuierlichen Fortentwicklung bemüht, den Herausforderungen der Beratung der Gesetzgebung, der Kontrolle und der Serviceerbringung für Anwender und Betroffene zugleich gerecht zu werden. Im Jahr 2000 sind jetzt mehrere nachhaltige Veränderungen auf einmal zu bewältigen. Dass sie fast zur gleichen Zeit auf der Tagesordnung stehen, macht die Sache für die Mitarbeiterinnen und Mitarbeiter nicht einfacher:

  • Ab 1. Juli 2000 gilt ein in weiten Teilen neues Landesdatenschutzgesetz, das völlig neue Ansprüche der Bürger und der Verwaltung mit sich bringt.

  • Zum gleichen Zeitpunkt wird die Dienststelle des Landesbeauftragten für den Datenschutz umgewandelt in eine Anstalt des öffentlichen Rechts mit der Bezeichnung "Unabhängiges Landeszentrum für Datenschutz”.

  • Ebenfalls zum 1. Juli 2000 geht die Zuständigkeit für die Datenschutzaufsicht im nichtöffentlichen Bereich vom Innenministerium auf das Unabhängige Landeszentrum für Datenschutz über. Es gilt, zwei über 20 Jahre nebeneinander bestehende Organisationseinheiten ohne Reibungsverluste miteinander zu verschmelzen.

  • Nach In-Kraft-Treten des neuen Informationsfreiheitsgesetzes können sich Bürgerinnen und Bürger bei Streitigkeiten über das Informationszugangsrecht an das Unabhängige Landeszentrum für Datenschutz wenden. Diese neue "Schiedsrichterfunktion” bedarf einer sorgfältigen Einarbeitung in die Materie.

Es bleibt zu hoffen, dass der Landtag seiner Verpflichtung gerecht wird, hierfür die ausreichende Sach- und Personalausstattung zur Verfügung zu stellen.

  Zum Inhaltsverzeichnis Zum nächsten Kapitel