Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

1         Datenschutz in Schleswig-Holstein

1.1         Der präventive Datenschutz startet durch

Es ist eine schöne Erfahrung, dass die Arbeit des Unabhängigen Landeszentrums für Datenschutz (ULD) von sehr vielen unterschiedlichen gesellschaftlichen Kräften wertgeschätzt wird. In jüngster Zeit können wir die Ernte einfahren von dem, was vor vielen Jahren vom ersten Leiter des ULD, Dr. Helmut Bäumler, gesät und über Jahre vom Team des ULD sorgsam gehegt und gepflegt wurde: Das Konzept des präventiven Datenschutzes zeigt Erfolg. Dieser präventive Datenschutz konzentriert sich nicht auf seine Rolle als Warner und Mahner, sondern versteht sich vor allem als Ideengeber und Gestalter. So begründet viele Befürchtungen vor dem Marsch in den Überwachungsstaat sein mögen, wir sind davon überzeugt, dass allein dauerndes Beklagen, die Welt wäre auf dem falschen Weg, diesen Marsch nicht aufhält.

Wir suchen einen anderen Weg, um den Datenschutz zur Geltung zu bringen. Mit konstruktiven Vorschlägen zeigen wir den beteiligten Personen und Stellen, dass wir deren Interessen an personenbezogener Datenverarbeitung ernst nehmen. Wir erwarten und erleben im Gegenzug, dass das Datenschutzanliegen auch ernst genommen wird. Daher versuchen wir, ein „Nein“ zu vermeiden; auch mit einem „Ja, aber“ geben wir uns nicht zufrieden. Vielmehr ist unsere liebste Antwort auf eine Datenschutzfrage: „So geht’s.“ Die Kombination von juristischer und technischer Fachkompetenz, von Bündnispartnern in Politik und Wirtschaft, Öffentlichkeit und Wissenschaft und einem umfangreichen gesetzlichen Instrumentarium führt dazu, dass dem ULD viele Türen offen stehen.

Im Instrumentenkasten des präventiven Datenschutzes hat das ULD zu bieten: Forschungsprojekte im Bereich der Infrastrukturen und der Produktentwicklung, Transfer von Datenschutzwissen durch unser Innovationszentrum und Kompetenznetzwerke, wirtschaftliche Anreizsysteme mit Audit und Gütesiegel, umfangreiche Beratungsleistungen und Angebote für Fort- und Weiterbildung. Allerdings entbindet dieser Instrumentenkasten das ULD nicht von der gezielten Beanstandung oder Sanktionierung von Datenschutzverstößen. Diese Instrumente sind oft der Auftakt für eine präventive Datenschutzstrategie. Nur bei wenigen Unbelehrbaren und Böswilligen, von denen es weniger gibt, als man vermuten sollte, sind die Datenschutzstrafen unvermeidbar.

• Grundlagenarbeit

Datenschutz, also Schutz von Persönlichkeit und Privatsphäre in der Informationsgesellschaft, ist zwar Thema, aber nur selten Forschungsthema – sowohl an den juristischen oder technischen Fakultäten von Universitäten als auch in der Wirtschaft. Dieses Defizit kann das ULD nicht beheben. Doch kann es, mit öffentlichen Fördermitteln, z. B. der Europäischen Union oder des Bundes, aus der eigenen Erfahrung Impulse für die Entwicklung von datenschutzkonformen Produkten und Anwendungen geben, Beiträge leisten und einzelne Mosaiksteine zu einer grundrechtlich orientierten Weiterentwicklung der Informations- und Wissensgesellschaft beisteuern. So kamen und kommen aus der ULD-Werkstatt wichtige Beiträge zu Themen wie z. B. Anonymität, Biometrie, Identitätsmanagement, Pseudonymität, Scoring, Ubiquitous Computing und Verkettbarkeit. Themen, die das ULD vor Jahren aufgriff, wie z. B. Identitätsmanagement, sind angesichts der Herausforderungen des Web 2.0 oder des E-Government zu zentralen Fragen unserer gesellschaftlichen Zukunft geworden (Tz. 8).

• Produktentwicklung

Für die Produktentwicklung fehlen dem ULD in jeder Form die Ressourcen; diese sind bei der Wirtschaft zu finden. Doch kann das ULD in Projekten mit seiner Datenschutzexpertise eine besondere Form von Public Private Partnership praktizieren: Es kann die praktische Erfahrung einer Datenschutzaufsichtsbehörde, wissenschaftliche Expertise und sein organisatorisch-rechtliches Know-how in die Entwicklung von informationstechnischen (IT-) Produkten einbringen – alles Kompetenzen, die es auf dem freien Markt derzeit noch viel zu wenig gibt (Tz. 8.4, 9.2).

• Transfer von Datenschutzwissen

Ohne die Vermittlung von Datenschutzknow-how in die Wirtschaft, die Verwaltung, die Wissenschaft, die Politik und die Öffentlichkeit wäre Datenschutz nicht möglich. Die Erfahrung des ULD ist, dass es gerade hieran fehlt, wenn überzogene Überwachungsmaßnahmen ergriffen werden oder wenn persönlichkeitsgefährdende Profile von Schülerinnen und Schülern, Konsumentinnen und Konsumenten, Bürgerinnen und Bürgern erstellt und genutzt werden. Die Beschaffung von Planungsdaten, die Wahrung unserer Sicherheit, die Informationsvermarktung oder die Verhinderung von Leistungsmissbrauch, all dies sind Ziele, die mit dem Ziel des Datenschutzes in Einklang gebracht werden können – und müssen. Das Bewusstsein für und das Wissen über eine datenschutzgerechte Gestaltung sind bisher nur wenig verbreitet. Hierin sehen wir eine unserer Aufgaben (Tz. 13).

• Kompetenznetzwerke

Auch bei optimaler Ressourcenausbeute ist das ULD nicht in der Lage, die Kompetenzen auf sich zu konzentrieren, die für die Wahrung des Datenschutzes in so unterschiedlichen Feldern wie Verwaltung und Privatwirtschaft, Internet- und Biotechnologie, Funktechnik und globalen Netzen nötig ist. Ohne Arbeitsteilung geht es nicht. Dies bedeutet, Kontakte zu Netzwerken zu knüpfen und zu pflegen, Informationen und Erfahrungen zu sammeln und auszutauschen. Das ULD ist in einigen Netzwerken Zentrum, etwa mit der Geschäftsführung des virtuellen Datenschutzbüros, mit der Leitung des Arbeitskreises Sicherheit der Konferenz der Datenschutzbeauftragten des Bundes und der Länder oder der Arbeitsgruppe Versicherungswirtschaft der Datenschutzaufsichtsbehörden. Oft profitieren wir im ULD als ein Knoten unter vielen von solchen Netzwerken, etwa im Rahmen von großen oder kleineren europäischen Projekten. Häufig verstehen wir uns als Mediator und Multiplikator, etwa wenn wir für betriebliche oder behördliche Datenschutzbeauftragte oder für Systemadministratoren relevante Informationen aufarbeiten und weitergeben, damit die rechtlichen Anforderungen an Datenschutz und Datensicherheit erfüllt werden können.

• Audit

Seit zehn Jahren wird über das Datenschutz-Audit diskutiert. Seit gut sechs Jahren wird es vom ULD praktiziert. Im Jahr 2006 war „gutes Datenschutzmanagement“ Thema unserer Sommerakademie. Inzwischen ist die Diskussion über die Integration des Datenschutzes in das IT-Sicherheits- und das Informationsmanagement im vollen Gange. Öffentliche Verwaltungen in Schleswig-Holstein wie auch Unternehmen in ganz Deutschland lassen sich mit unseren speziellen Auditerfahrungen beraten. Beim Audit können wir nachweisen, dass sich Datenschutz bezahlt macht – durch effektive schlanke Abläufe mit geklärten Verantwortlichkeiten und transparenten Strukturen – und dabei auch noch Grundrechte und Bürgerinteressen gewahrt werden können. Für alle Beteiligten wird der Datenschutz so zu einer Win-Win-Situation (Tz. 9.1).

• Gütesiegel

Datenschutzkonforme IT-Angebote und -Produkte sind die Tools für eine bürgerrechtlich orientierte Informationsgesellschaft. Derartige Angebote und Produkte lassen sich nicht so leicht vergleichen wie die Qualität und die Preise von Äpfeln und Birnen. Daher bietet das ULD ein gesetzlich vorgesehenes Verfahren zur Überprüfung und Bestätigung der Datenschutzkonformität an. Dieses rechtlich nur auf Schleswig-Holstein beschränkte Angebot wird inzwischen bundesweit in Anspruch genommen und stößt auf Interesse und Nachahmung in anderen Staaten (Tz. 9.2).

• Beratung

Neben der Bereitstellung von Informationen ist individuelle Beratung oft unabdingbar – zu unterschiedlich sind häufig die Probleme und die Lösungsmöglichkeiten bei der personenbezogenen Datenverarbeitung. Das Beratungsangebot des ULD richtet sich an alle Beteiligten: an Datenverarbeiter wie an Betroffene, an Behörden wie an Unternehmen, an Personalvertretungen wie an Arbeitgeber, an ehrenamtliche Organisationen wie an profitorientierte Großunternehmen. Dabei versucht das ULD, ein ehrlicher Makler zu sein: Bei allem Engagement für die Wahrung des Rechts auf informationelle Selbstbestimmung erkennen wir auch das Recht und das Interesse an Informationen an – als Informationsfreiheitsbeauftragter im Interesse demokratischer Transparenz, aber auch im sonstigen öffentlichen oder privaten Interesse.

• Ausbildungsinitiativen

Vor zwölf Jahren wurde gemeinsam mit dem Deutschen Grenzverein e.V. die DATENSCHUTZAKADEMIE Schleswig-Holstein gegründet, die inzwischen ein etablierter Bildungsträger des Landes ist. Vorlesungsangebote an der Verwaltungsakademie und der Universität zu Kiel kamen hinzu. Jüngster Spross des ULD-Ausbildungsangebotes sind ein Kooperationsvertrag mit der Fachhochschule Kiel und dortige Bildungsangebote in der Bachelor- und Master-Ausbildung. Für Systemadministratoren wurde vor wenigen Jahren ein Zertifikat mit sehr vielen geforderten Voraussetzungen eingeführt. Der nächste Schritt drängt sich geradezu auf: die Standardisierung und Qualifizierung der Ausbildung zum behördlichen bzw. betrieblichen Datenschutzbeauftragten und die Einführung entsprechender Leistungsnachweise (Tz. 13).

 

1.2         Wir nehmen den Datenschutz ernst

„Sie müssen den Datenschutz nicht lieben; ernst nehmen wäre genug.“ Diesen Satz hätten wir im vergangenen Jahr häufig sagen oder schreiben können. Adressaten dieser Aufforderung sind so unterschiedliche Personen und Stellen wie der Innenminister, die Leitung des Bildungsministeriums und immer wieder Vertreter der Privatwirtschaft. Hintergrund unserer Aufforderung ist nicht eine ablehnende Einstellung gegenüber dem Datenschutz, sondern dessen Ausblendung. Der Innenminister nimmt seine Aufgabe als Polizeiminister ernst, ist aber auch Verfassungs- und damit Datenschutzminister. Im Bildungsministerium erhofft man sich genauere Informationen über das Schulsystem, um mit den validen Planungsdaten die Erziehungsmisere in den Griff zu bekommen. Aber man kümmerte sich bisher kaum darum, dass bei der Beschaffung dieser Daten, z. B. für ein nationales Schülerregister, massive Eingriffe in das Recht auf informationelle Selbstbestimmung der Schülerinnen und Schüler erfolgen und wirksame Schutzvorkehrungen erforderlich sind. Und in der Wirtschaft nehmen es manche Unternehmen mit dem Geldverdienen derart ernst, dass ihnen die Konsequenzen für die Selbstbestimmung der Konsumentinnen und Konsumenten aus dem Blick geraten.

So wie es die Aufgabe des Innenministers ist, um ein wirksames Polizeirecht zu streiten, die Aufgabe des Bildungsministeriums, gute Planungsdaten für eine optimale Erziehung zu beschaffen, die Aufgabe der Wirtschaft, für sich und das Land Gewinn zu erwirtschaften und Arbeitsplätze zu schaffen, so ist es die Aufgabe des Unabhängigen Landeszentrums für Datenschutz, für die informationelle Selbstbestimmung zu sorgen. Als Mittel hierfür haben wir keine Kompetenzen der Regulierung und nur wenige zur Sanktionierung. Unsere zentralen Mittel sind die Macht der Argumente und die Diskussion. Um den Argumenten Gehör zu verschaffen, mussten wir das eine oder das andere Mal die Diskussion nachhaltig einfordern, indem wir unseres Erachtens wichtige Themen öffentlich ansprachen.

Der Gang an die Öffentlichkeit ist jedes Mal der letzte – manchmal verzweifelte – Schritt, wenn alle direkten Diskussionsangebote zurückgewiesen werden. So war dies etwa beim Polizeirecht, als wir das Innenministerium mit schriftlichen Stellungnahmen auf die Verfassungswidrigkeit seiner Planungen hinwiesen. Nachdem selbst der direkte Appell an die Spitze des Ministeriums erfolglos war, blieb zum Zeitpunkt der ohnehin schon öffentlichen Verbandsanhörung dem ULD kein anderer Weg als der an die Öffentlichkeit (Tz. 4.2.1). In der Bildungspolitik zeigten wir vielleicht zu lange Geduld. Die Spitze des Ministeriums ließ sich mit Briefen und vielfältigen Gesprächsangeboten über mehr als ein halbes Jahr lang nicht von der Verfassungswidrigkeit seiner Gesetzesvorschläge zur individuellen Schülerstatistik überzeugen. Als wir dann kurz vor der entscheidenden Bildungsausschusssitzung des Landtages an die Öffentlichkeit gingen, war die öffentliche Empörung über die Pläne groß, doch die Regierungsfraktionen hatten sich schon politisch festgelegt (Tz. 4.7). Im Bereich der Privatwirtschaft ist das ULD äußerst zurückhaltend bei der Benennung von Ross und Reiter. Der Gang in die Öffentlichkeit war aber auch hier nicht vermeidbar, als etwa die Bankwirtschaft und deren Dienstleister dem amerikanischen Geheimdienst in Millionenumfang sensible Kundendaten zur Verfügung stellten und trotz offensichtlicher Rechtswidrigkeit für keine Abhilfe sorgten (Tz. 5.1). Die Förderung der öffentlichen Debatte über den Datenschutz – und die Informationsfreiheit – gehört zu den originären gesetzlichen Aufgaben des ULD.

Dem ULD wurde in der öffentlichen Debatte manchmal Besserwisserei und Arroganz vorgeworfen. Sollte dieser Eindruck angesichts unseres Engagements entstehen, so tut uns dies leid. Wenn ein wirklicher Diskurs über einen Datenschutzkonflikt stattfindet und wir bessere Argumente vorgetragen bekommen, lassen wir uns hiervon gerne überzeugen. Um den Datenschutz im Interesse der Bürgerinnen und Bürger zu verwirklichen, muss man ihn oder das ULD nicht „lieb haben“. Es genügt, ihn ernst zu nehmen, indem man ihn als einen Aspekt bei der Gestaltung informationstechnischer Vorgänge beachtet. Bloße Verweigerung nützt niemandem.

An dieser Einsicht hat es im letzten Jahr nach unserem Eindruck bei einzelnen Fachressorts das eine oder das andere Mal gefehlt. Generell ist aber der Landesregierung zu bescheinigen, dass sie es mit dem Datenschutz bei der Verwirklichung von IT-Verfahren sehr ernst nimmt. Dies ist daran zu erkennen, dass das ULD von den Fachressorts und dem zumeist federführenden Finanzministerium in einem frühen Verfahrensstadium einbezogen wird. Diese Praxis basiert auf den Festlegungen des IT-Gesamtplanes 2007 der Landesregierung, wonach das ULD frühzeitig in die Planungsprozesse der Informationstechnik (IT) einzubeziehen ist und dessen Beratungskompetenz genutzt wird zur Analyse, Bewertung und strukturierten Gestaltung datenschutzkonformer und -sicherer Verarbeitungsprozesse einschließlich der jeweiligen Auftragsdatenverarbeitung.

 

1.3         Gesetzgebung im Land

Ein Exempel für Nichternstnehmen (Tz. 1.2) statuierte das Innenministerium bei der Gesetzgebung zum Polizeirecht. Dieses wähnte nicht nur den Datenschutz, sondern auch den Leiter des ULD „allein zu Haus“ und sich in allerbester Gesellschaft der ernst zu nehmenden gesellschaftlichen Kräfte bis hin zum Bundesverfassungsgericht. So sehr wir Verständnis dafür haben, dass es in der Politik nicht immer nur auf die besseren Argumente ankommt, so befremdet waren wir darüber, dass das Innenministerium zunächst partout nicht bereit war, diese zur Kenntnis zu nehmen. In der Sache war festzustellen, dass sich zunächst die Opposition und eine kritische Öffentlichkeit auf die Seite des ULD schlugen, dass die Gesamtheit aller Sachverständigen der Anhörung im Innen- und Rechtsausschuss unsere Position weitgehend teilte und dass schließlich auf Anforderung des Parlamentes dessen Wissenschaftlicher Dienst diese bestätigte.
Das Innenministerium muss nun nicht die Befürchtung haben, allein zu sein bei seinem Bestreben, ein wirksames und verfassungskonformes Polizeirecht zu schaffen. Das ULD hat seine Bereitschaft zur Zusammenarbeit in jedem Stadium der Beratungen zum Ausdruck gebracht. Die manchmal hitzige Diskussion sollte nun in ein ruhigeres Fahrwasser gebracht werden und die Suche nach konstruktiven Lösungsvorschlägen im Vordergrund stehen. Dabei machen wir uns nichts vor: Die Positionen des Innenministeriums weichen immer noch von dem ab, was wir im ULD gerade noch als verfassungsrechtlich akzeptabel ansehen. Dies erweist sich nicht nur bei der Polizeigesetzgebung, sondern auch bei der Implementierung neuer Informationstechnik in der Polizei oder beim Umgang mit den Betroffenenrechten, etwa dem Auskunftsanspruch (Tz. 4.2.1 bis 4.2.4).

Im Vorfeld der Gesetzgebung zum Informationsfreiheitsgesetz (IFG) hatte das ULD geradezu inständig darum gebeten, bei der gesetzlichen Umsetzung der Umweltinformationsrichtlinie der Europäischen Union die positiven Errungenschaften des bisherigen Gesetzes nicht aufzugeben. Tatsächlich ist anerkannt, dass das IFG-SH nicht nur in der Bundesrepublik, sondern auch darüber hinaus im Hinblick auf Kürze, Klarheit und Praktikabilität mit der Zielsetzung größtmöglicher demokratischer Transparenz vorbildlich ist. Auf diesem Wege wäre das ULD gerne gemeinsam mit dem Innenministerium und dem Gesetzgeber weitergegangen; entsprechende Vorschläge lagen dem Parlament vor. Der nunmehr gewählte Kompromiss, ein eigenes Umweltinformationsgesetz zu schaffen und das bisherige IFG unangetastet zu lassen, ist zwar gesetzessystematisch nicht so schön wie eine integrierte Regelung mit der bundesweit größtmöglichen Transparenz. Sie ist aber eine gediegene Grundlage für die Sicherung der berechtigten Informationsbedürfnisse der Bürgerinnen und Bürger im demokratischen Rechtsstaat (Tz. 12.1).

Bei der Diskussion um das Schulgesetz ging es in der öffentlichen Debatte noch um viele andere Themen als das des Datenschutzes. Daher versuchte das ULD, durch direkten Austausch mit dem zuständigen Ministerium die Fragen der optimalen Regulierung der schulischen Datenverarbeitung zu klären. Dieser Weg erwies sich teilweise als erfolgreich. Die Spitze des Ministeriums wollte sich aber nicht davon abbringen lassen, eine landesweite Schulstatistik als Teil eines bundesweiten Systems vorzusehen, bei dem jede Schülerin und jeder Schüler eine Identifizierungsnummer erhält, zu der die Daten des gesamten schulischen Verlaufes gespeichert werden. Herauskommen würde bei der Umsetzung der gefassten Beschlüsse die gläserne Schülerin bzw. der gläserne Schüler.

Zum Inhaltsverzeichnis

Zum nächsten Kapitel