23. Tätigkeitsbericht (2001)



1

Situation des Datenschutzes in Schleswig-Holstein

1.1

Das neue LDSG auf dem Stand der Technik

Durch das neue Landesdatenschutzgesetz (LDSG), das am 01.07.2000 in Kraft getreten ist, wurde ein "datenschutzpolitisches Signal" gesetzt, weil es nicht nur die Europäische Datenschutzrichtlinie umsetzt, sondern auch ein zeitgemäßes Datenschutzkonzept verkörpert. Die Kombination von materiellen Verarbeitungsvorschriften, technikoffenen Datensicherheitsbestimmungen, der Gewährleistung einer unabhängigen Datenschutzkontrolle sowie von Beratung, Service und Prävention als integrale Bestandteile eines effizienten Grundrechtsschutzes hat sich schon in den ersten Monaten nach In-Kraft-Treten des Gesetzes bewährt. Auf dieser Grundlage hat der Datenschutz eine reelle Chance, über die Rolle des nachträglich Kritisierenden hinauszuwachsen und an der Gestaltung der Informationsgesellschaft im Interesse der Privatsphäre der Bürgerinnen und Bürger aktiv mitzuwirken. Offensichtlich liegt das Gesetz auch mit seinen Bestimmungen zum Systemdatenschutz richtig, die Reaktionen aus den Reihen der Praktiker sind jedenfalls positiv (vgl. Tz. 7.1).

Zu beobachten ist allerdings eine gewisse Zurückhaltung der Behörden bei der Bestellung behördlicher Datenschutzbeauftragter nach § 10 LDSG. Lediglich die Polizei in Schleswig-Holstein nimmt hier bislang eine Vorreiterrolle ein. Manche Behördenchefs scheinen dagegen dem Irrtum zu unterliegen, aus der Tatsache, dass das Gesetz die Bestellung behördlicher Datenschutzbeauftragter nicht zwingend vorschreibt, sei zu folgern, auch im Übrigen sei die Beachtung des LDSG mehr oder weniger eine freiwillige Angelegenheit. Dem ist natürlich nicht so. Die Kompetenz zur Erfüllung der datenschutzrechtlichen Anforderungen muss in jedem Falle bei allen öffentlichen Stellen im Lande vorhanden sein. Vieles spricht dafür, dann gleich einen kompetenten, gut ausgebildeten Datenschutzbeauftragten zu bestellen, der der Behördenleitung über den eigentlichen Datenschutz hinaus bei der revisionssicheren Beherrschung der Informationstechnik von großem Nutzen ist (vgl. Tz. 4.1.1). Wird ein behördlicher Datenschutzbeauftragter nicht bestellt, so sind nach den zwingenden Vorgaben der Europäischen Datenschutzrichtlinie alle sensiblen Verarbeitungsverfahren dem Unabhängigen Landeszentrum zur Vorabkontrolle nach § 9 LDSG vorzulegen - eine Tatsache, die vielen Behörden bislang offenbar noch gar nicht bewusst ist. Hier ist angesichts der Risiken der elektronischen Datenverarbeitung auf die gelegentlich gestellte Frage, wie viel die Bestellung eines behördlichen Datenschutzbeauftragten kostet, die Gegenfrage zu stellen: Wie viel kann die unterlassene Bestellung eines Datenschutzbeauftragten kosten?

Das Landesdatenschutzgesetz enthält erstmals Bestimmungen zum Datenschutzaudit für Behörden und zu Gütesiegeln für IT-Produkte. Weil anderswo noch über diese Themen kleinlich gezankt wird, kann sich für die schleswig-holsteinische Wirtschaft und Verwaltung aus Datenschutzaudit und Gütesiegel ein Standortvorteil ergeben.

Das Datenschutzaudit kann bei öffentlichen Stellen entweder für die gesamte Datenverarbeitung, für Teile davon oder für einzelne Verfahren durchgeführt werden. Die Behörden haben ihr Datenschutzkonzept zusammen mit weiteren Unterlagen beim Unabhängigen Landeszentrum für Datenschutz zur Prüfung vorzulegen. Ist das Auditverfahren erfolgreich durchlaufen, so erteilt das ULD ein Prüfzeichen, mit dem die Behörde offensiv "werben" kann, z. B. bei den Bürgerinnen und Bürgern oder bei den eigenen Mitarbeitern. Gegenüber den bisherigen Formen der Beratung und Vorabbeteiligung des ULD bei Automationsvorhaben bietet das Datenschutzaudit drei Vorteile:

  • Das Votum des ULD bezieht sich auf ein gesamtes Verfahren und nicht nur auf einzelne vorgelegte Teilaspekte.

  • Das Audit des ULD ist verbindlich und kann "im Geschäftsverkehr" verwendet werden. Es schafft Rechtssicherheit und wandelt das Datenschutzthema von einer lästigen Obliegenheit zu einem positiven Werbefaktor.

  • Ein Datenschutzaudit wird erteilt, wenn ein Konzept vorliegt, das die Einhaltung des Datenschutzes auch über den Zeitpunkt der Auditierung hinaus garantiert.

Nicht zu verwechseln mit dem Audit ist das IT-Gütesiegel, das es den Behörden erleichtern soll, solche Produkte zu finden, deren Vereinbarkeit mit den Vorschriften über den Datenschutz und die Datensicherheit, insbesondere auch mit den Grundsätzen der Datenvermeidung und der Datensparsamkeit in einem förmlichen Verfahren festgestellt wurde. § 4 LDSG macht es den öffentlichen Stellen im Lande zur Pflicht, vorrangig solche Produkte einzusetzen. Die Verordnung der Landesregierung sieht vor, dass beim ULD akkreditierte Gutachter die Zertifizierung von Produkten durchführen. Sie haben ihr Gutachten beim ULD vorzulegen, das eine Nachprüfung unter den Aspekten der Schlüssigkeit und methodischen Korrektheit vornimmt. Verläuft die Nachprüfung positiv, dann verleiht das ULD ein Gütesiegel, das befristet werden kann. Hierdurch haben die öffentlichen Stellen die Gewissheit, dass das Zertifizierungsverfahren korrekt abgelaufen ist. Da auch für die Verbraucher ein von einer unabhängigen staatlichen Stelle verliehenes Gütesiegel einen hohen Vertrauenswert hat, ist zu erwarten, dass die vom ULD verliehenen Gütesiegel nicht nur bei den Behörden, sondern generell auf dem IT-Markt Beachtung finden werden.

Weitere Informationen zum IT-Gütesiegel und zum Datenschutzaudit
des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein unter:
www.datenschutzzentrum.de/guetesiegel/ und
www.datenschutzzentrum.de/audit/

Schleswig-Holstein ist das einzige Bundesland, dass die gesetzlichen Regelungen zur Datensicherheit um Ordnungsmäßigkeitskriterien in einer Datenschutzverordnung ergänzt hat. Da einige Bestimmungen der seit 1994 gültigen Landesverordnung in das LDSG übernommen worden sind und einige andere Regelungen an die neuen technischen Gegebenheiten anzupassen waren, ist sie einem "Facelifting" unterzogen worden. Sie konnte, wie das LDSG auch, insgesamt verschlankt werden. Nach wie vor gilt der Grundsatz, dass automatisierte Verfahren nur dann als ordnungsgemäß angesehen werden können, wenn die Datenverarbeitung rechtlich zulässig ist, ein Sicherheitskonzept besteht und die Verfahren getestet, freigegeben und dokumentiert sind. Damit behält auch die neue Datenschutzverordnung die bewährte Grundstruktur bei, die bei Praktikern längst Akzeptanz gefunden hat.

Um die Anwendung des neuen Landesdatenschutzgesetzes zu erleichtern, wurden allen Behörden kurz nach In-Kraft-Treten entsprechende Unterlagen zugeleitet. Die Behördenleiter wurden zudem in einem "Chefschreiben" auf die zehn wichtigsten Neuerungen hingewiesen. Zugleich wurde in der Reihe "Datenschutzleicht gemacht" eine Broschüre unter dem Titel "Tipps und Hinweise zur Anwendung des neuen Landesdatenschutzgesetzes" herausgegeben. Die DATENSCHUTZAKADEMIE Schleswig-Holstein nahm insgesamt 20 Sonderkurse in ihr Programm auf, in denen die Mitarbeiterinnen und Mitarbeiter der öffentlichen Stellen mit den wesentlichen Neuerungen vertraut gemacht wurden.

www.datenschutzzentrum.de/recht/dsleicht/
www.datenschutzzentrum.de/akademie/

1.2

Datenschutz aus einer Hand

Mit dem In-Kraft-Treten des neuen Landesdatenschutzgesetzes wurden auch die Aufgaben der Datenschutzaufsicht im nichtöffentlichen Bereich vom Innenministerium des Landes Schleswig-Holstein auf das Unabhängige Landeszentrum für Datenschutz übertragen. Durch die Konzentration der Kräfte und die Bündelung der Aufgaben sollen Synergieeffekte erzielt werden. Dies ist notwendig, denn seit der Schaffung der Datenschutzgesetze haben sich die Gewichte deutlich verschoben: War früher das Hauptaugenmerk auf die Datenverarbeitung staatlicher Stellen gerichtet, so vermuten heute viele Bürgerinnen und Bürger nicht ganz zu Unrecht, dass der "Big Brother" eine Reihe von Brüdern in der privaten Wirtschaft hat.

Der ganze Umfang der neuen Aufgaben für das ULD wird sich aber erst zeigen, wenn 2001 das neue Bundesdatenschutzgesetz in Kraft tritt. Es verändert die Datenschutzaufsicht im nichtöffentlichen Bereich radikal: Während bislang im Wesentlichen nur bei konkreten Beschwerdefällen kontrolliert werden durfte, haben die Aufsichtsbehörden künftig "anlassfrei", d. h. flächendeckend und systematisch die Datenverarbeitung aller nichtöffentlichen Stellen zu kontrollieren.

Tausende von Wirtschaftsunternehmen, Handwerksbetrieben, Arztpraxen, Anwaltskanzleien usw. müssen dann regelmäßig datenschutzrechtlich unter die Lupe genommen werden. Die Bürgerinnen und Bürger haben einen Anspruch auf diese Kontrollen. Spätestens seit der BSE-Krise dürfte allen klar sein, dass staatlichen Stellen auch hier früher oder später die Frage gestellt wird, ob und in welchem Umfang tatsächlich kontrolliert worden ist. Unter Nutzung aller Synergieeffekte wird dieses Aufgabenpensum ohne Personalverstärkungen nicht zu meistern sein. Bislang hat der Landtag hierfür jedoch noch keine zusätzlichen Stellen bewilligt.

In jedem Fall kommt es darauf an, durch einen möglichst geschickten Einsatz der knappen Kräfte möglichst viel Wirkung zu erzielen. Wir haben deshalb ein Aktionsprogramm für den Privatbereich entwickelt, durch das ein effizienter Personal- und Mitteleinsatz erreicht werden soll. Es besteht aus drei Elementen: gezielte Kontrollen, Beratung der Verbraucher und Verstärkung marktwirtschaftlicher Anreize (vgl. auch Tz. 6).

Kontrollen sind auch im Bereich der privaten Wirtschaft unverzichtbar. Darauf haben die Bürger einen Anspruch. Anderenfalls hätten im Übrigen diejenigen Firmen und Stellen, die das Datenschutzrecht beachten, einen Nachteil gegenüber denjenigen, die glauben, sich über die Vorschriften hinwegsetzen zu können. Angesichts der knappen Ressourcen müssen sich die Kontrollen auf die Verarbeitung besonders sensibler Daten konzentrieren, z. B. bei Auskunfteien, Versicherungen und im Bereich der ärztlichen Versorgung.

Die Beratungsaktivitäten werden sich schwerpunktmäßig an die Verbraucher richten. Ihnen ist vielfach gar nicht bewusst, welche Rechte sie nach den Datenschutzgesetzen haben. Die Beratung von Firmen und anderen privaten Daten verarbeitenden Stellen kann in der Regel nicht mehr kostenlos sein. Das neue LDSG gibt dem ULD die Befugnis zur Gebührenerhebung. Hiervon werden wir besonders dann Gebrauch machen, wenn aus der datenschutzrechtlichen Beratung konkrete wirtschaftliche Vorteile gezogen werden können.

Schließlich gilt es, gezielt marktwirtschaftliche Anreize zu schaffen. Da es offensichtlich ein breites Bedürfnis vieler Bürgerinnen und Bürger nach dem Schutz ihrer personenbezogenen Daten gibt, müssten diejenigen Unternehmen Marktvorteile haben, die ihren Kunden ein attraktives Datenschutzangebot machen. Unter dem Motto "privacy sells" wollen wir deshalb die Unternehmen in Schleswig-Holstein ermuntern, sich mit aktiver Werbung um das Vertrauen der Kunden zu bemühen. Ausgangspunkt ist das Datenschutzgütesiegel, das schon in absehbarer Zeit Marketingvorteile bringen dürfte. Es geht aber auch darum, die bislang zumeist in den schwer verständlichen, oft zweideutigen allgemeinen Geschäftsbedingungen "versteckten" Datenschutzinformationen attraktiv und gut verständlich zusammenzufassen und sie zu einem hervorgehobenen Instrument der Kundeninformation zu machen. Dabei dürfte es wichtiger sein, nach dem Motto "... und ein gutes Datenschutzangebot ist auch dabei" das Wesentliche prägnant und verständlich auszudrücken, als den Kunden langweilige juristische Texte zuzumuten. Um privaten Stellen die Formulierung eines überzeugenden Datenschutzangebotes zu erleichtern, dürfte es sinnvoll sein, die allgemeinen, generalklauselartigen Bestimmungen des BDSG bereichsspezifisch zu präzisieren. Es ist beabsichtigt, im Zusammenwirken mit berufsständischen Verbänden und Unternehmen Leitlinien und Checklisten auszuarbeiten. Alles in allem sollte am Ende für möglichst viele Unternehmen die Erkenntnis stehen, dass Datenschutz nicht eine Belastung oder gar ein Standortnachteil ist, sondern im Gegenteil eine legitime Erwartung der Kunden, die demjenigen Marktvorteile verspricht, der sie fair und offensiv erfüllt. An Grenzen stößt ein solcher Ansatz allerdings bei solchen Firmen, die glauben, den Kunden auch weiterhin mit Tricks und Täuschungen Informationen entlocken zu können, um anschließend detaillierte Kundenprofile zu erstellen, die mit viel Gewinn vermarktet werden. In solchen Fällen hilft auch in Zukunft nur konsequente Kontrolle und rechtzeitige Aufklärung der Verbraucher.

1.3

Das neue Informationsfreiheitsgesetz

Neben dem LDSG ist im Jahre 2000 auch das Informationsfreiheitsgesetz in Kraft getreten. Es gibt allen Bürgerinnen und Bürgern gegenüber den öffentlichen Stellen in Schleswig-Holstein einen Anspruch auf Zugang zu den dort vorhandenen Informationen, ohne dass sie dafür besondere Gründe darlegen müssten. Schleswig-Holstein ist damit nach Brandenburg und Berlin das dritte Land, in dem ein solches Informationszugangsrecht besteht. In den meisten anderen europäischen Staaten gehören Informationszugangsrechte schon seit einiger Zeit zum Bestandteil des demokratischen Lebens. Auch in Deutschland gibt es weitere Gesetzgebungsvorhaben auf diesem Gebiet (vgl. Tz. 12.1).

Das schleswig-holsteinische Informationsfreiheitsgesetz ist ohne intensive öffentliche Debatte verabschiedet worden. Entsprechend reserviert reagierten zunächst einige Behörden, als sie dem Gesetzblatt entnehmen konnten, dass sie von nun an ohne "Vorwarnzeit" ihre Akten offen legen müssen. Es spricht für eine gut entwickelte Informationskultur im Lande, dass das Gesetz nur vereinzelt auf regelrechte Ablehnung gestoßen ist. Dazu mag beigetragen haben, dass sich im Rahmen der zweiten Lesung des Gesetzes praktisch alle Fraktionen im Landtag grundsätzlich zu einem Informationszugangsrecht bekannten.

Das Gesetz weist dem Unabhängigen Landeszentrum die Aufgabe zu, Beschwerden von Bürgerinnen und Bürgern über unzureichende Informationswährung nachzugehen. Seit In-Kraft-Treten des Gesetzes gab es eine ganze Reihe von förmlichen Eingaben (vgl. Tz. 12.5.2 und Tz. 12.6) und von Anfragen von Bürgern und Behörden im Vorfeld konkreter Streitfragen. Fast täglich erkundigen sich Bürger nach dem Umfang und den Modalitäten ihres Informationsrechts, während Behörden Hinweise über ihre Pflichten, insbesondere zur Abgrenzung des Informationszugangs von entgegenstehenden öffentlichen Belangen, Geheimhaltungsinteressen, Betriebs- und Geschäftsgeheimnissen oder Datenschutzrechten Dritter wünschen. Um die Anwendung des Gesetzes zu erleichtern, haben wir eine Broschüre mit Tipps und Hinweisen zum Informationsfreiheitsgesetz und ein Faltblatt herausgegeben. Die DATENSCHUTZAKADEMIE Schleswig-Holstein hat ihr Angebot um Kurse zum Informationsfreiheitsgesetz erweitert.

Zieht man eine erste Bilanz, so scheint es, dass das Informationsfreiheitsgesetz in der Praxis gut anwendbar ist. Die uns vorgelegten Eingaben vermitteln den Eindruck, dass es kaum missbräuchlich in Anspruch genommen wird, sondern dass die Informationsbegehren gut nachvollziehbar sind. Eine förmliche Beanstandung wegen einer unzulässigen Verweigerung einer begehrten Information musste nur ein einziges Mal ausgesprochen werden. In allen anderen Fällen konnte durch unsere vermittelnde Tätigkeit, insbesondere durch die Präzisierung des Informationswunsches, eine für beide Seiten tragbare Lösung gefunden werden. Es hat sich gezeigt, dass Datenschutz und Informationszugang durchaus miteinander harmonieren können, ja dass sie letztlich zwei Seiten einer Medaille sind: Es geht um eine faire Informationsverteilung zwischen dem Einzelnen und dem Staat. Versteht man das Informationsfreiheitsgesetz nicht als ein Kampfinstrument gegen die Verwaltung, sondern als ein im Zeitalter der Informationsgesellschaft selbstverständliches Recht der Bürger, dann ist es nur ein kleiner Schritt, die Erfüllung der Pflichten aus dem Informationsfreiheitsgesetz aufseiten der Behörden als einen neuen Service der Verwaltung für die Bürger zu begreifen.

www.datenschutzzentrum.de/informationsfreiheit/

1.4

Die Errichtung des Unabhängigen Landeszentrums für Datenschutz

Die Zusammenfassung der Aufgaben der Datenschutzkontrolle bei den öffentlichen Stellen, der Datenschutzaufsicht im privaten Bereich und der Vermittlungstätigkeit nach dem Informationsfreiheitsgesetz unter dem Dach des Unabhängigen Landeszentrums für Datenschutz stellt eine grundlegende Reorganisation des Datenschutzes in Schleswig-Holstein dar. Die Rechtsform der Anstalt des öffentlichen Rechts hat sich bereits in den ersten Monaten als gut geeignet erwiesen. Sie ist geradezu eine ideale Organisationsform, wenn es darum geht, die Aufgaben nach dem LDSG, BDSG und dem IFG unabhängig, flexibel und effizient zu erfüllen. Das ULD beschäftigt derzeit 25 Mitarbeiterinnen und Mitarbeiter. Hinzu kommen sechs im Rahmen der Projekte zeitlich befristete Beschäftigte sowie Teilzeitkräfte.

Die Dienststelle bezieht im 1. Halbjahr 2001 ein neues Gebäude mitten in der Fußgängerzone der Stadt Kiel. Dadurch soll der unmittelbare Kontakt zu den Bürgern und der Wirtschaft noch einfacher werden als bisher. Die technische Ausstattung der Dienststelle und der IT-Labore ist als gut zu bezeichnen. In den neuen Diensträumen wird erstmals ein eigener Schulungsraum mit Computern ausgestattet werden, sodass die Aufgaben des ULD auf dem Gebiet der Vermittlung von Medienkompetenz adäquat erledigt werden können.

1.5

Schwerpunkte der Tätigkeit im abgelaufenen Jahr

1.5.1

Kontrollen

Im Mittelpunkt unserer Tätigkeit standen erneut die Kontrollen vor Ort. Herausragende Skandale sind dabei nicht zu Tage getreten, wohl aber viele Verhaltensweisen, die nicht akzeptabel sind.

So zeigten die routinemäßigen Kontrollen gravierende Mängel im Kommunalbereich auf, die offenbar auf Managementfehler zurückzuführen sind. Bei der Suche nach möglichst billigen Lösungen werden Sicherheitsstandards vernachlässigt, was sich mittel- und langfristig bitter rächen kann (vgl. Tz. 7.5.2). Manche Behördenleiter suchen ihr Heil im vollständigen Outsourcing der EDV und realisieren nicht, dass sie damit Gefahr laufen, die Kontrolle über ihre eigenen Verwaltungsabläufe weitgehend zu verlieren. Die Spätfolgen hastiger Automationsentscheidungen zeigten sich auch bei Kontrollen im Polizeibereich. Aus gutem Grund hat der Gesetzgeber auf diesem sensiblen Feld präzise Regeln für den Umgang mit personenbezogenen Daten aufgestellt. Sie sind im "regulären" Informationssystem COMPAS gut abgebildet. Die daneben in vielen Polizeidienststellen seit einigen Jahren hastig und ohne klare Konzeption nach dem Motto "Die EDV-Ausstattung der Polizei muss dringend und sofort verbessert werden" angeschafften PC erweisen sich jetzt als ein Sicherheitsproblem, dessen Lösung alles andere als einfach ist (vgl. Tz. 7.5.1).

Erfreulich war das Ergebnis der Kontrollen im Bereich der Sicherheitsüberprüfungen. Die Akten, die der Verfassungsschutz und die örtlichen Geheimschutzbeauftragten hierzu führen, waren weitgehend in Ordnung (vgl. Tz. 4.4). Ein Grund dafür liegt darin, dass in Schleswig-Holstein die Durchführung von Sicherheitsüberprüfungen beim Geheimschutzbeauftragten des Landes konzentriert ist. Ausgerechnet diese bewährte Konstruktion will der Innenminister in seinem Entwurf eines Sicherheitsüberprüfungsgesetzes wegen angeblicher Kosteneinsparungen beseitigen.

Man wundert sich immer wieder, dass längst bekannte Sicherheitslücken nur schwer auszurotten sind. Obwohl bereits mehrfach angeprangert, fanden wir bei unangekündigten Kontrollen in einem Gericht erneut im Papierkorb neben dem Kopiergerät auf dem offen zugänglichen Flur Fehlkopien von Haftbefehlen und dergleichen (vgl. Tz. 5).

Im Bereich der Wirtschaft konnten wir bislang im Wesentlichen nur aufgrund konkreter Anlässe kontrollieren. Deshalb können allgemeine Aussagen nur bedingt getroffen werden. Besonders unangenehm fiel ein Betrieb auf, in dem eine für jedermann einsehbare "Rennliste" an der Wand hing, aus der man die Verkaufserfolge und den Krankenstand der Mitarbeiterinnen und Mitarbeiter ablesen konnte (vgl. Tz. 6.3.2). Zu Recht beschwerten sich Bankkunden über die fehlende Diskretion an manchen Geldautomaten (vgl. Tz. 6.3.5). In anderen Fällen verlangten Banken von Kunden, die vor Jahren einen Kredit aufgenommen und diesen seither ordentlich bedient hatten, zu Unrecht plötzlich detaillierte Vermögens- und Einkommensangaben (vgl. Tz. 6.6). Bereits jetzt zeigt sich, dass Probleme im Zusammenhang mit der SCHUFA uns künftig besonders beschäftigen werden. Zumeist können sich hier schon kleine Fehler zu gravierenden Problemen für die Betroffenen auswachsen. So brachte eine alte, nicht ordnungsgemäß vernichtete SCHUFA-Auskunft einen Architekten in arge Bedrängnis (vgl. Tz. 6.4.1). In einem anderen Fall musste eine Bankkundin die Erfahrung machen, dass schon eine Eintragung bei der SCHUFA in Höhe von 200 DM (die Betroffene hatte die Monatsrechnung eines Mobilfunkbetreibers zunächst nicht bezahlt, weil familienintern gestritten wurde, wer so viel telefoniert hatte) ihr drei Jahre lang von den Banken vorgehalten wurde (vgl. Tz. 6.4.2). Problematisch ist auch die Auffassung der SCHUFA, dass die von ihr nach einer geheimen Methode errechneten Scoring-Werte, die für die Kreditwürdigkeit von Bankkunden von großer Bedeutung sind, keine personenbezogenen Daten der Betroffenen, sondern eine Art "Betriebsgeheimnis" der SCHUFA seien (vgl. Tz. 6.4).

1.5.2

Beratung

Unsere Beratungstätigkeit konzentrierte sich auf eine Reihe von Großprojekten. Nach wie vor gibt es noch kein überzeugendes Konzept für den Schutz des Fernmeldegeheimnisses bei den Telefonaten im gesamten Bereich der Landesregierung und des Parlaments, nachdem die Telekommunikationsrechner des Landes privatisiert worden sind (vgl. Tz. 7.3). Den Großteil der Arbeitskraft eines Mitarbeiters kosten die umfangreichen Beratungsleistungen, die beim Anschluss von Behörden an das Internet zu erbringen sind (vgl. Tz. 4.1.2). Der Aufwand lohnt sich, denn wenn hier geschlampt wird, können die Schäden hinterher immens sein. Bei der Konzeption von INPOL-neu, das sich mehr und mehr zum Millionengrab entwickelt, lässt sich die Polizei zwar umfangreich von uns beraten, nimmt unseren Rat aber kaum an (vgl. Tz. 4.2.2).

Ein weiterer Schwerpunkt der Beratungstätigkeit liegt im Medizinbereich. Hier gibt es auch in Schleswig-Holstein ehrgeizige Automationsprojekte. Den Ärzten ist leider nicht immer bewusst, dass dabei das Patientengeheimnis auf der Strecke bleiben kann (vgl. Tz. 4.8.3 und Tz. 4.8.9). Immer wieder wollten Vereinsvorstände und -mitglieder wissen, wie mit Mitgliederlisten umzugehen ist (vgl. Tz. 6.3.1). Die Häufung von Anfragen über den manchmal heiklen Umgang mit Daten im Betreuungswesen veranlasste uns zur Entwicklung von Leitlinien, die den Betroffenen zur Verfügung gestellt werden. Die meisten Beratungsersuchen kamen erwartungsgemäß zum neuen Informationsfreiheitsgesetz (vgl. Tz. 12).

1.5.3

Die Modellprojekte und das IT-Labor

"Den Datenschutz von Anfang an in die Produkte einbauen und so datenschutzrechtliche Probleme von vornherein vermeiden", das ist ein Ideal, das wir seit vielen Jahren propagieren. In unseren Modellprojekten konnten wir einiges davon bereits realisieren. Das Projekt Webzugriff anonym und unbeobachtbar (WAU) steht kurz vor dem Abschluss. Es hat zur erfolgreichen Installation eines "Anonymisierers" bei der Lübecker Online-Drogenberatung "Ecstasy" geführt. Die dabei gewonnenen Erkenntnisse werden jetzt ausgewertet, aufbereitet und in ein neues Projekt größeren Zuschnitts eingebracht, das gemeinsam mit der TU Dresden betrieben und vom Bundeswirtschaftsministerium gefördert wird. AN.ON soll schon in absehbarer Zeit dazu beitragen, dass das Recht auf Anonymität, das im Teledienstedatenschutzgesetz jedem Surfer garantiert wird, in der Realität tatsächlich in Anspruch genommen werden kann (vgl. Tz. 9.2).

Schon in wenigen Jahren werden biometrische Verfahren unseren Alltag begleiten. Ob wir uns dabei einen weiteren Schritt dem Horrorszenario einer totalen Überwachung nähern oder die Kontrolle über unsere biometrischen Daten behalten, hängt entscheidend von den Weichenstellungen bei der Technikentwicklung ab. Im Rahmen des Projektes BioTrusT bringen wir das Interesse der Verbraucher nach effektivem Schutz ihrer Persönlichkeitsrechte in die Überlegungen der Industrie ein und bemühen uns um eine datenschutzgerechte Technikgestaltung (vgl. Tz. 9.3).

Das virtuelle Datenschutzbüro hat am 05.12.2000 seinen Betrieb aufgenommen. Es ist ein Gemeinschaftsprojekt von deutschen und ausländischen Datenschutzinstitutionen. Seit seiner Inbetriebnahme wird es täglich von ca. 4.000 Surfern besucht. Im Schnitt vollziehen sie ca. fünf "Clicks", woraus man ersehen kann, dass sie offenbar im virtuellen Datenschutzbüro auf interessante Informationen stoßen (vgl. Tz. 9.1).

Im Rahmen eines vom Bundesministerium für Wissenschaft und Forschung geförderten Projektes zur Entwicklung einer CD, die in Schulen im Rahmen des Unterrichts zum Thema "Datenschutz" eingesetzt werden soll, werden wir einzelne Module entwickeln sowie generell die datenschutzrechtlichen Inhalte überprüfen (vgl. Tz. 9.4).

Das IT-Labor erweist sich als wertvolle Hilfe bei der Durchführung von Tests und Simulationen. Damit die dabei gewonnenen Erkenntnisse nicht Theorie bleiben, haben wir in der Reihe der backUP-Magazine Hinweise zur Datensicherheit publiziert (vgl. Tz. 10.1).

1.5.4

Die Vermittlung von Medienkompetenz

Im neuen Landesdatenschutzgesetz wird dem Unabhängigen Landeszentrum erstmals ausdrücklich die Aufgabe zugewiesen, Fortbildungsveranstaltungen zu den Themen Datenschutz und Datensicherheit durchzuführen. Hierbei kann das ULD auf die seit sieben Jahren bewährte Arbeit der DATENSCHUTZAKADEMIE Schleswig-Holstein zurückgreifen. Sie hat seit ihrer Gründung insgesamt 230 Kurse mit über 4.700 Teilnehmern durchgeführt. Im Jahresprogramm 2001 werden die neuen Aufgaben des ULD auf dem Gebiet des Datenschutzes in der privaten Wirtschaft sowie beim Informationszugang aufgenommen. Das Angebot der DATENSCHUTZAKADEMIE Schleswig-Holstein wurde auf insgesamt 56 Kurse erweitert. Auch in diesem Bericht finden sich am Rand Hinweise auf Kurse, in denen hier dargestellte Themen behandelt werden.





  Zum Inhaltsverzeichnis Zum nächsten Kapitel