1. Datenschutz in Schleswig-Holstein

Nach den turbulenten Jahren 2008 und 2009, in denen sich Datenschutzskan­dale und öffentliche Kontroversen zum Schutz der Privatsphäre und der Persön­lichkeitsrechte im „digitalen Raum“ lückenlos und überlappend aneinan­derreihten, war das Jahr 2010 ein ver­gleichsweise ruhiges Jahr für den Datenschutz. Dies hatte jedoch weniger seinen Grund darin, dass die Verstöße weniger geworden sind, sondern es trat ein gewisser Gewöhnungseffekt ein, der nach dem Bekanntwerden jedes neuen Datenlecks aber nicht zu Desinteresse wegen Abstumpfung führte. Vielmehr wurde das aufgeregte Hüpfen von einem Erstaunen zur nächsten Empörung zumindest teilweise abgelöst durch die Suche nach Lösungen der ins Auge springenden Probleme.

Dabei ist erfreulicherweise festzustellen, dass bei der Suche nach Lösungen nicht auf alte Reaktionsmuster zurückgegriffen wurde – den Ruf nach dem starken Staat oder das Hoffen auf die selbstheilenden Kräfte des ungeregelten Marktes. Viel­mehr ist die Ambivalenz der modernen Informationstechnik fest im öffentlichen und politischen Bewusstsein verankert – einerseits als Tor zu neuen Freiheiten bei der Information, der Kommunikation, der Freizeitgestaltung, dem politischen Engagement und der beruflichen und wirtschaftlichen Betätigung, andererseits als Abgrund für neue Formen der Kriminalität, der Persönlichkeitsverletzungen, der Manipulation und Diskriminierung, der Unterdrückung und gar der Kriegsfüh­rung. Diese Ambivalenz erlaubt keine einfachen und schnellen Antworten, sondern verlangt nach qualifizierten Lösungen. Die Probleme der hoch technisier­ten Informationsgesellschaft lassen sich nicht mit symbolischen Maßnahmen lösen, sondern nur unter Mobilisierung der Technik selbst, einer freiheitlichen Kultur, organisatorischen Vorkehrungen und – auch neuen – rechtlichen Regelun­gen.

Hier sehen der Datenschutz allgemein und das Unabhängige Landeszentrum für Datenschutz (ULD) ihre Aufgabe und Legitimation: angesichts des rasanten tech­nischen Fortschritts und der unübersichtlicher werdenden Informationswelt unter Wahrung der demokratischen und freiheitlichen Werte die Probleme zu analysie­ren und technische, organisatorische und rechtliche Lösungen zu suchen, zu finden und umzusetzen. Dabei dringt einem täglich ins Bewusstsein, dass bei allen technischen, organisatorischen und rechtlichen Rahmenbedingungen das Haupt­problem und die Hauptlösung die Menschen selbst sind. Diese Erkenntnis hat zur zwangsläufigen Konsequenz geführt, Medienkompetenz zu vermitteln. Medienkompetenz ist aber nicht nur das mechanische Beherrschen von Informa­tionstechnik. Dazu gehört auch ein neues informationsgesellschaftliches Bewusst­sein mit neuen sozialen Verantwortlichkeiten, neuen Pflichten und neuen Werten. Dabei handelt es sich um nichts völlig Neues, sondern um die alten Verantwort­lichkeiten, Pflichten und Werte in einem neuen digitalen Gewand. Das ULD hat vor diesem Hintergrund die Sommerakademie 2010 mit dem Titel „Codex digita­lis“ durchgeführt (32. TB, Tz. 2.1).

Dieser Bedeutungswandel ist in der Wirtschaft längst angekommen. Informa­tionstechnik (IT) ist zum ökonomischen Motor geworden. Die Lebenswirklichkeit von immer mehr Menschen wird davon geprägt. Die Medien greifen die neuen Konflikte und Herausforderungen mit neuen Akteuren begierig auf und suchen auf die neuen Fragen Antworten. Symptomatisch hierfür war die das vergangene Jahr stark prägende Diskussion um die Veröffentlichung von Dokumenten durch WikiLeaks im Internet, die sich um die zentrale Frage drehte, welche legitimen Geheimnisse es in der globalen Informationsgesellschaft geben kann, muss und darf – im politischen, wirtschaftlichen und privaten Raum. Als weitere Frage drängte sich sogleich die nach der technischen Sicherung von Staatsgeheimnissen, von Betriebs- und Geschäftsgeheimnissen und der Privatsphäre auf. Zu diesen Fragen Antworten zu geben ist Aufgabe der Datenschutz- und Informations­freiheitsbeauftragten – also auch des ULD.

Erstaunlich ist, dass die gefundenen Antworten sich nur noch begrenzt in das klassische politische Spektrum von links über die Mitte bis nach rechts einordnen lassen. Dies darf nicht zur Folge haben, dass nun statt der Ideologen die Techno­kraten das Schicksal unserer Gesellschaft bestimmen. Technik und deren Beherr­schung müssen weiterhin instrumentellen Charakter bewahren und dürfen keine ungezügelte, sich selbst gestaltende Eigendynamik entwickeln. Hierüber zu wachen ist nicht nur Aufgabe der kritischen Öffentlichkeit und der Politik, nicht nur die der Datenschutz- und Informationsfreiheitsbeauftragten, sondern von allen Betroffenen und Beteiligten. Schleswig-Holstein hat sich in der Vergangenheit dieser politischen Herausforderungen in vorbildlicher Weise angenommen. Dies zeigte sich z. B. im engagierten Aufgreifen des Konfliktes um die Geodaten­dienste von Google, bei dem der Innen- und Rechtsausschuss des Landtages – lange bevor das Thema in der Bundespolitik angekommen war – intervenierte.

https://www.datenschutzzentrum.de/geodaten/google-landtag.html

Weiterhin wurde dies jüngst deutlich durch die Thematisierung der „Netzneutra­lität“ durch den Europaausschuss: Die Informationstechnik ist nicht nur eine Herausforderung für die Freiheitsrechte, sondern auch Auslöser neuer Vertei­lungskämpfe und damit eine Herausforderung zur Wahrung der Gleichheitsrechte und zur Verhinderung von Diskriminierungen. Auch insofern ist die Politik zur Problemanalyse und Gestaltung aufgerufen.

http://www.landtag.ltsh.de/infothek/wahl17/umdrucke/1600/umdruck-17-1645.pdf

1.1         LDSG – Fortschritte sind nötig und möglich

Das Landesdatenschutzgesetz muss geändert werden, nachdem der Europä­ische Gerichtshof festgestellt hat, dass die deutschen Regelungen zur Daten­schutzaufsicht mit europäischem Recht nicht vereinbar sind. Dies sollte Anlass sein, eine Generalüberholung des in die Jahre gekommenen Gesetzes vorzunehmen.

Als das neue Landesdatenschutzgesetz (LDSG) vor elf Jahren in Kraft trat, war es unbestritten eines der modernsten und fortschrittlichsten allgemeinen Daten­schutzregelungen. Die Technikentwicklung und die Datenverarbeitungspraxis machen aber eine regelmäßige Revision nötig. Nachdem im März 2010 der Euro­päische Gerichtshof (EuGH) die Bundesrepublik Deutschland verurteilt hatte, weil ihre Datenschutzaufsicht in den Ländern europarechtswidrig ist, weil sie nicht unabhängig genug ist, war klar, dass das LDSG geändert werden muss.

Die Europäische Datenschutzrichtlinie sieht vor, dass die Kontrollstellen für den Datenschutz ihre Aufgaben „in völliger Unabhängigkeit“ wahrnehmen. Der EuGH stellte nun klar, dass die Kontrollstellen als „Hüter der Grundrechte und Grundfreiheiten objektiv und unparteiisch“ handeln müssen, was voraussetzt, dass sie „vor jeglicher Einflussnahme von außen einschließlich der unmittelbaren oder mittelbaren Einflussnahme des Bundes oder der Länder sicher sein“ müssen. Diese Unabhängigkeit schließt, so der EuGH, „jede Anordnung und jede äußere Einflussnahme, sei sie unmittelbar oder mittelbar“ aus.

Das Unabhängige Landeszentrum für Datenschutz (ULD) trägt die Unabhän­gigkeit schon im Namen. Auch in der Praxis wurden einige offensichtliche Einflussnahmeversuche von Unternehmen durch die Landesregierung jeweils klar zurückgewiesen. Doch sieht das LDSG im nicht öffentlichen Bereich die Rechtsaufsicht des Innenministeriums vor. Dies ist nach dem Urteil des EuGH nicht mehr möglich. Allenfalls die Dienstaufsicht des Ministerpräsidenten, soweit sie sich, ähnlich wie bei Richtern, auf Formelles und auf schwere Dienstvergehen beschränkt und nicht den Inhalt von Entscheidungen erfasst, ist nach dem Urteil des EuGH hinnehmbar.

Die nötigen Änderungen zur Anpassung des LDSG an die Rechtsprechung des EuGH sind gering. Über zehn Jahre Erfahrung mit dem LDSG haben im ULD eine Liste von Punkten entstehen lassen, bei denen Rechtsänderungen dringend notwendig oder zumindest wünschenswert sind. In Absprache mit dem Innen­ministerium erarbeiteten wir Änderungsvorschläge für das LDSG, die wir dem Ministerium im August 2010 zuleiteten. Diese resultieren teilweise aus den bundesweiten Diskussionen über die Eckpunkte zur Modernisierung der Daten­schutzrechte (Tz. 2.1). U. a. haben wir folgende Punkte benannt:

  • Durch Aufgabenauslagerung und Privatisierung im öffentlichen Bereich sowie die Anhebung des Datenschutzniveaus im nicht öffentlichen Bereich kann eine Einschränkung des Anwendungsbereichs des LDSG vorgenommen werden.
  • Die bisherige Regelung zur Datensicherheit enthält nicht mehr Einzelmaßnah­men, sondern Schutzziele. Diese wurden inzwischen weiterentwickelt und sind entsprechend fortzuschreiben.
  • Die zunehmende Automation und die damit verbundene Erhöhung der Rele­vanz elektronisch verarbeiteter Daten macht eine Präzisierung der Protokoll­pflichten nötig.
  • Die Veröffentlichung von Verfahrensverzeichnissen sollte gemäß den heute bestehenden Möglichkeiten über das Internet erfolgen.
  • Behördliche Datenschutzbeauftragte haben sich bewährt, weshalb deren Be­stellung obligatorisch werden muss. Nach entsprechenden Rechtsänderungen auf Bundesebene kann die Kontrollbefugnis auf besondere Amts- und Berufs­geheimnisse erstreckt werden.
  • Die Unklarheiten zur Einwilligungsfähigkeit von Jugendlichen wird dadurch beendet, dass ausdrücklich auf die Einsichtsfähigkeit abgestellt wird, die in der Regel schon mit 16 Jahren besteht.
  • Gemäß einer EuGH-Entscheidung muss eine Daten übermittelnde Stelle Aus­kunft über die Empfänger geben, weshalb diese zu dokumentieren sind.
  • Durch Einfügung einer Regelung zur Veröffentlichung personenbezogener Daten im Internet wird hierfür eine klare Rechtsgrundlage geschaffen.
  • Die Regelung zur Videoüberwachung sollte an die des BDSG angeglichen werden.
  • Die bestehende Vorschrift zum Fernmessen und Fernwirken hat keine prakti­sche Bedeutung mehr und kann wegfallen, ebenso wie die Regelung zur Dokumentation über Sekten.
  • Gemäß den Normen auf nationaler und europäischer Ebene wird eine Infor­mationspflicht gegenüber Datenschutzaufsicht bzw. Betroffenen bei unrecht­mäßiger Übermittlung vorgeschlagen, die sogenannte Breach Notification.
  • Die völlige Unabhängigkeit des ULD wird gemäß dem Urteil des EuGH recht­lich sichergestellt.
  • Die Regelung einer angeforderten Datenschutzprüfung ohne Abschluss mit einer Zertifizierung wird ausdrücklich vorgesehen.
  • Die Möglichkeiten zur Erhebung von Entgelten sind zu erweitern.
  • Das ULD erhält die umfassende Zuständigkeit für die Verfolgung von Ord­nungswidrigkeiten nach dem Datenschutzrecht.

Kurz vor Redaktionsschluss hat uns das Innenministerium des Landes seine Überlegungen zur LDSG-Novellierung mitgeteilt, die weitgehend mit unseren Vorschlägen übereinstimmen.

Was ist zu tun?
Das LDSG sollte noch in dieser abgekürzten Legislaturperiode modernisiert werden, sodass es seinen innovativen und zukunftsgerichteten Charakter bewahrt.

1.2         Die Dienststelle

Nicht nur das LDSG ist in die Jahre gekommen, auch die Dienststelle des ULD bedarf einer kritischen Bestandsaufnahme und einer Zukunftsausrich­tung. Dieses Ziel wird mit der Erstellung eines ULD-Konzepts verfolgt.

Die Arbeit einer Datenschutzbehörde bewegt sich immer in einem Spannungsver­hältnis von Anspruch und Wirklichkeit. Nicht nur, dass die gesetzlichen Ansprüche mit der Realität der Datenverarbeitung in Einklang zu bringen sind, was Gesetzesänderungen oder eine Änderung der Praxis nötig macht, auch die Erwartungen der gesellschaftlich relevanten Gruppen – Bevölkerung, Politik, Wirtschaft Medien, Informatik, andere Behörden – werden durch die Verwal­tungspraxis oft nicht erfüllt. Eine zentrale Restriktion der eigenen Arbeit sind bei zunehmenden Aufgaben die begrenzten Finanzen, die das Land für den Daten­schutz zur Verfügung stellen kann. Die Krise des Landeshaushaltes hat latent eine Krise des Datenschutzes zur Folge.

Angesichts dessen hat das ULD ein Konzept für die eigene Tätigkeit erstellt, das nach einer Bestandsaufnahme des Datenschutzes und seiner Rahmenbedingungen die strategischen Ziele und die zu deren Erreichung nötigen Maßnahmen benennt. Das Konzept dient sowohl der internen Orientierung als auch der Kommunikation des Selbstverständnisses und der Vorgehensweise des ULD nach außen.

Das Konzept wurde im Rahmen eines dienststelleninternen mehrstufigen Diskur­ses erstellt. Eine Überprüfung der einzelnen Bereiche des ULD erbrachte das erfreuliche Resultat, dass die Grundausrichtung der bisherigen Arbeit den Anfor­derungen und Bedürfnissen schon in weitem Maße entspricht. Dennoch sind weitere Justierungen angezeigt.

Dies gilt zunächst unzweifelhaft für die Notwendigkeit einer Modernisierung des Rechtsrahmens auf Landes-, auf Bundes- und auf internationaler Ebene (Tz. 1.1, Tz. 2.1 bis Tz. 2.3). Bei der Aufgabenwahrnehmung kann durch Standardisie­rungen eine noch höhere Effizienz erreicht werden. Die Möglichkeiten von Kooperationen und zur Arbeitsteilung sind noch nicht ausgeschöpft. Die inhalt­liche Ausrichtung auf internationale Fragen und auf die Schnittmengen zum Verbraucherschutz muss vertieft werden. Die Verschränkung der IT-Planung im Land und eines weiter zu etablierenden Datenschutzmanagements kann nicht nur zur Erhöhung des Datenschutzniveaus, sondern auch der Kosteneffizienz genutzt werden. Die Potenziale der Informationstechnik (IT) im ULD selbst lassen sich besser nutzen. Die Eigenfinanzierung des ULD sollte angesichts der prekären Haushaltslage weiterentwickelt und auch zu einer verbesserten Absicherung der dadurch geschaffenen zusätzlichen Arbeitsplätze genutzt werden. Dabei spielt die Datenschutzzertifizierung eine wichtige Rolle.

Bei der Umsetzung des Konzeptes bedarf das ULD der externen Unterstützung – der kontrollierten Behörden und Unternehmen, der Politik sowie der kooperie­renden Stellen im Bereich Datenschutz, Verbraucherschutz und Medienkompe­tenz. Wir hoffen, mit der Veröffentlichung des ULD-Konzeptes eine Grundlage für den Austausch geschaffen und zugleich relevante Diskussionspunkte für die weitere gemeinsame Arbeit im Interesse des Datenschutzes und der Informations­freiheit benannt zu haben.

Was ist zu tun?
Das ULD wird das Konzept als Grundlage für die weitere Arbeit verwenden. Nach einem Zeitablauf von einigen Jahren ist zu prüfen, welche Änderungen und Weiterentwicklungen möglich und nötig sind.

Zum Inhaltsverzeichnis Zum nächsten Kapitel