Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

1

Situation des Datenschutzes in Schleswig-Holstein

1.1

Bürgernaher Datenschutz

Umfragen zeigen, dass die Bürgerinnen und Bürger nach wie vor ein starkes Interesse am Thema Datenschutz haben. Eine Mehrheit von 63 % spricht sich in Schleswig-Holstein dafür aus, dem Datenschutz künftig mehr Bedeutung beizumessen als bisher. Aber wollen sie auch eine Fortsetzung der bisherigen Formen und Methoden des Datenschutzes? Aus vielen Gesprächen und Eingaben wissen wir, dass die Bürger eine effiziente Unterstützung erwarten, wenn sie sich durch Datenverarbeitung ungerecht behandelt fühlen. Sie möchten auch die Gewissheit haben, dass bei den Behörden und Firmen regelmäßig Kontrollen durchgeführt werden. Und sie wünschen brauchbare Tipps und Hinweise zu bekommen, wie sie sich in bestimmten Situationen verhalten sollen und sich insbesondere selbst schützen können. Woran kein Interesse besteht, das ist ein juristischer Kleinkrieg, bürokratisches Gehabe und ein Datenschutz, der auf Verhinderung statt auf Gestaltung gerichtet ist.

Unsere Vorstellungen von einem stärker marktwirtschaftlichen Datenschutz kommen dieser Erwartung entgegen. Audit und Gütesiegel (Tz. 10) sind beispielsweise Möglichkeiten, die Bürger selbst (mit)entscheiden zu lassen, wie viel Datenschutz in welcher Qualität sie wünschen. Vor allem bei der jüngeren Generation ist die Tendenz zu beobachten, den Datenschutz nicht in erster Linie als ein schwer erkämpftes Grundrecht zu begreifen, das Behörden und Firmen Tag für Tag aufs Neue abgerungen werden muss, sondern als Teil der Lebensqualität, die sie beanspruchen. Datenschutz, der als selbstverständlicher Service erwartet wird, gehört offenbar für viele bereits heute zum Lifestyle.

Wir bemühen uns zudem, unsere Arbeit stärker auf diese Bürgererwartungen auszurichten. Da passte es gut ins Konzept, dass die Dienststelle im vergangenen Jahr auch räumlich näher an die Bürger heranrückte. Sie befindet sich jetzt nicht mehr im Regierungsviertel, sondern bewusst im Zentrum der Stadt, mitten in der Fußgängerzone. Viele Bürger haben registriert, dass wir damit leichter erreichbar sind. Beim "Tag der offenen Tür” schauten hunderte persönlich herein und machten sich ein Bild von unseren Serviceangeboten. Die bequeme Erreichbarkeit über elektronische Kommunikationsmittel tut ein Übriges. Längst ist das Informationsangebot im Internet gleichwertig neben die traditionellen Broschüren und Faltblätter getreten. Es ist absehbar, dass der E-Mail-Verkehr mit den Bürgern die traditionelle Briefpost bald überflügelt hat.

1.2

Licht und Schatten bei den Kontrollen

Dass Datenschutz ein selbstverständlicher Service gegenüber Bürgern und Kunden ist und dass sich Schlamperei und Nachlässigkeit bei Fragen der Datensicherheit und der Ordnungsmäßigkeit der Datenverarbeitung bitter rächen können, hat sich allerdings beileibe noch nicht überall herumgesprochen. Viele Behörden, vornehmlich die großen im Lande, verzichten auf die Bestellung von behördlichen Datenschutzbeauftragten, so als seien Spezialkenntnisse auf diesem Gebiet Luxus oder auf wundersame Weise wie von selbst bei ihnen vorhanden.

Die Ergebnisse unserer Kontrollen sprechen häufig eine andere Sprache. Elementare Sicherheitsregeln werden nach wie vor verletzt. Manche Behördenchefs meinen offenbar, mit dem Sparen müsse ausgerechnet bei der Datensicherheit angefangen werden. Sie wachen erst auf, wenn man sie bei Kontrollen "erwischt” oder wenn es zu Datenpannen kommt (Tz. 7.5). Erstaunlicherweise klappt manchmal noch nicht einmal das kleine Einmaleins des sorgsamen Umgangs mit persönlichen Daten. Wie wäre es sonst vorstellbar, dass man in den Müllcontainern mancher Behörden in Schleswig-Holstein immer noch reichlich "Beute” machen kann (Tz. 7.6).

Immer wieder kann man die Beobachtung machen, dass das Ausblenden der Datenschutzfragen bei der Einführung neuer DV-Projekte am Ende teuer zu stehen kommt. Der Ehrgeiz, den Knopfdruck zum Start der neuen Systeme lieber heute als morgen öffentlich vorführen zu können, endet nicht selten im Katzenjammer über aufwendige Nachbesserungen (Tz. 4.2.4, Tz. 4.2.9, Tz. 7.2 und Tz. 7.3). Eine saubere Planung von DV-Projekten vor ihrem Produktionsbeginn gehört leider nach wie vor eher zur Ausnahme.

Das Verführerische des technisch Machbaren führt auch an anderen Stellen zu unerklärlicher Bedenkenlosigkeit. Wir haben zwar ein Patientengeheimnis, an das natürlich auch die Apotheken gebunden sind. Aber viele Apotheker verfuhren nach der Devise: "Aber wenn es so bequem und technisch so einfach zu machen ist, über Jahre zu speichern, wer wann welche Medikamente genommen hat, dann machen wir es eben!” Dass auf diesem Wege ein höchst sensibler Datenbestand aufgebaut wurde, war Nebensache. Man war ja überzeugt, alles geschehe nur zum Besten der Kunden. Nur dass diese gar nichts von ihrem Glück wussten. Auf die Idee, ihre Kunden um Einwilligung zu bitten, mussten die Apotheker erst durch die Datenschutzbeauftragten gebracht werden (Tz. 4.8.7). Andere Beispiele sind Internet-Schuldnerpranger (Tz. 6.2.7) und heimliche Gentests. Es war ja zu erwarten, dass die Tatsache, dass schon ein Haar, das man dem Betroffenen unbemerkt wegnimmt, für eine Genomanalyse reicht, schon bald zu allerlei "Dienstleistungen” führen würde. Die Entwicklungen in der Gentechnik sind so rasant, dass ihre sozialen und kulturellen Auswirkungen kaum überschaubar sind (Tz. 4.8.9). Mag sein, dass es eines Tages üblich wird, heimliche Vaterschaftstests durchzuführen und auch auf andere Weise mittels Gentests in der Privatsphäre anderer herumzuschnüffeln. Der Datenschutz und die jetzige Gesetzeslage stehen dem jedenfalls entgegen (Tz. 4.8.10).

1.3

Von der Aufsichtsbehörde zum Innovationszentrum

An Kontrollaufgaben für die Datenschutzbeauftragten wird es also auch in Zukunft nicht mangeln. Gleichwohl treten die Aspekte der aktiven Gestaltung der Informationsgesellschaft immer stärker in den Vordergrund. Wer bei der Entwicklung der Informationstechnik nicht von vornherein den Fuß in der Tür hat, kann später nur noch schwer etwas verändern. Die "lex informatica” ist manchmal stärker als das geschriebene Recht. Deshalb wurde der vor Jahren begonnene Weg, den Datenschutz näher an die Entwicklungsprozesse heranzuführen, auch im Berichtsjahr intensiv fortgeführt.

Mehr und mehr zeigt sich, dass die Modellprojekte ein wirksamer Hebel sind, um auf die Gestaltung der Technik Einfluss zu bekommen (Tz. 9). Sie ermöglichen es uns, stets die aktuellen technischen Fragestellungen aufzugreifen, das Personal der Dienststelle ständig mit Hochschulabsolventen aufzufrischen und die Kompetenz des Unabhängigen Landeszentrums zu stärken. Längst reichen unsere Kontakte im Rahmen der Modellprojekte weit über die Landes- und Bundesgrenzen hinaus.

Ein anderes Mittel, die Technikentwicklung zu beeinflussen, dürften auf mittlere Sicht die IT-Gütesiegel sein. Aus vielen Anfragen aus dem Bereich der Entwickler und Hersteller wissen wir, dass eine Nachfrage nach Datenschutzstandards, die bereits bei der Produktentwicklung berücksichtigt werden können, besteht. Der enorme Aufwand, den es für uns bedeutet hat, die Produktkriterien zu entwickeln (Tz. 10.3), wird sich vermutlich erst in Jahren, dann aber spürbar, bezahlt machen. Leider muss dies alles im Augenblick noch fast im Alleingang erarbeitet werden, weil der Bundesgesetzgeber bei der Novellierung des Bundesdatenschutzgesetzes die Chance verpasst hat, ein bundesweites Verfahren zu etablieren.

Zukunftsinvestitionen sind auch die Aufwendungen für das IT-Labor (Tz. 11); die Ergebnisse rechtfertigen aber den Aufwand. So entwickeln sich die Ratgeber aus der Reihe backUP zu richtigen Rennern. Auch die Faltblätter mit Tipps zum sicheren Surfen und die gesamte Beratungstätigkeit gegenüber Behörden, Firmen und Bürgerinnen und Bürgern profitieren von der Möglichkeit, im IT-Labor praktische Tests durchzuführen.