Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

 

1. Datenschutz und Informationsfreiheit in Schleswig-Holstein

Der Datenschutz in Schleswig-Holstein wird immer mehr geprägt durch nationale und europäische Vorgaben sowie durch das Internet und die hierüber bereitgestellten informationstechnischen Angebote. Für das Land bieten sich dabei enorme, viel zu wenig genutzte Gestaltungs- und Einflussmöglichkeiten.

1.1          Novellierung des Landesdatenschutzgesetzes

Das Landesdatenschutzgesetz (LDSG) wurde zuletzt Anfang 2012 geändert, um die europarechtlich geforderte Unabhängigkeit des Leiters des Unabhängigen Landeszentrums für Datenschutz (ULD) normativ abzusichern. Daneben erfolgten einige materiell-rechtliche Änderungen, z. B. zu Internetveröffentlichungen. Weiter gehende Änderungsvorschläge wurden vom Landtag nicht beschlossen (34. TB, Tz. 1.1). Nach Ansicht des ULD besteht weiterhin Novellierungsbedarf:

• Daten werden immer mehr ausschließlich elektronisch verarbeitet. Dies macht eine Verbesserung der Revisionssicherheit nötig, da anders eventuell vorgenommene Änderungen nicht mehr anhand einer Papierakte nachvollzogen werden können.
• Bisher erlaubt das LDSG gemeinsame Verfahren von Landesbehörden auf der Grundlage einer Rechtsverordnung. Der Bedarf an gemeinsamen Verfahren besteht auch auf kommunaler Ebene. Die dadurch mögliche Bündelung von Verantwortung würde zu einer starken Verwaltungsvereinfachung führen (Tz. 4.1.3).
• Behördliche Datenschutzbeauftragte können, müssen bisher aber nicht eingerichtet werden. Das Fehlen führt zu massiven Defiziten beim Datenschutzmanagement – bei kleinen Kommunen ebenso wie bei Ministerien.
• Derzeit gibt es keine gesetzliche Grundlage zur weitverbreiteten Verarbeitung von Steuerdaten durch Kommunen. Eine rechtliche Öffnung, ohne dass dabei das Steuergeheimnis gefährdet wird, ist geboten.

Weitere, eher redaktionelle Änderungen, etwa zur Begrifflichkeit oder zur Anwendbarkeit des Rechts, würden die Handhabbarkeit des LDSG weiter verbessern. Das ULD präsentierte die Änderungsvorschläge dem in der Regierung federführenden Innenministerium, den kommunalen Spitzenverbänden sowie Vertretern von Landtagsfraktionen. Den meisten Vorschlägen wurde zugestimmt. Die kommunalen Spitzenverbände kündigten aber ihren Widerstand gegen die verpflichtende Einrichtung behördlicher Datenschutzbeauftragter an und stellten in Aussicht, diese Änderung unter Verweis auf das Konnexitätsprinzip zu verhindern. Das Prinzip sieht vor, dass bei neuen gesetzlichen Aufgaben für die Kommunen die damit verbundenen Finanzen bereitgestellt werden müssen.
Das ULD legte dar, dass das Konnexitätsprinzip überhaupt nicht tangiert wird. Die obligatorische Bestellung behördlicher Datenschutzbeauftragter schafft keine neue Aufgaben, sondern regelt nur, wie diese wahrgenommen werden. Kommunen können die Aufgabe in Teilzeit erledigen lassen. Sie können sich hierfür auch zusammentun und einen gemeinsamen Beauftragten bestellen. Letztlich werden damit Kosten eingespart, da die ohnehin zu erledigenden Aufgaben – Vorabkontrolle, Umsetzung der Datenschutzverordnung, Mitarbeiterfortbildung und Datenschutzprüfungen – so von sachkundigen und zuverlässigen Personen wahrgenommen werden.
Herangezogene behördliche Datenschutzbeauftragte der Kommunen bestätigten diese Einschätzung des ULD. Dies führte bei den kommunalen Spitzenverbänden aber nicht zu einem Sinneswandel: Aus prinzipiellen Gründen wolle man auf die Konnexitätseinrede nicht verzichten.
Diese aus Sicht des ULD nicht nachvollziehbare Verweigerung führte bisher dazu, dass überhaupt keine inhaltliche Änderung des LDSG in Angriff genommen wurde. Konsequenz dessen ist, dass kommunale gemeinsame Verfahren nur mit großen rechtlichen Verrenkungen umgesetzt werden können. Die weitverbreitete Beauftragung Dritter mit der Verarbeitung von kommunalen Steuerdaten bleibt schlicht rechtswidrig. Das ULD steht weiterhin zur Unterstützung der nötigen Änderungen bereit.

1.2          „Lex Weichert“

Während sich das parlamentarische Interesse an den Inhalten des LDSG in Grenzen hielt, erregte die Streichung eines kurzen Satzes bzw. von zwei Worten in diesem Gesetz über viele Monate die Gemüter. Diese Änderung war schon anlässlich der 2011 verabschiedeten Gesetzesnovelle geplant. Nachdem zunächst alle datenschutzpolitischen Sprecher hierzu Zustimmung signalisiert hatten, besannen sich die damaligen Regierungsfraktionen neu.

§ 35 Abs. 1 LDSG alte Fassung
Der Landtag wählt ohne Aussprache die Landesbeauftragte oder den Landesbeauftragten für Datenschutz mit mehr als der Hälfte seiner Mitglieder für die Dauer von fünf Jahren. Die Wiederwahl ist nur einmal zulässig.

Die neuen Regierungsfraktionen brachten den Vorschlag ein, den Ausschluss der Wiederwahlmöglichkeit zu streichen. Ziel sollte es sein, dem bisherigen Amtsinhaber die Möglichkeit einer erneuten Kandidatur zu eröffnen. Insofern handelte es sich tatsächlich kurzfristig um einen „Lex Weichert“, wie dies von der Opposition genannt wurde. Diese lehnte den Vorschlag ab, weil die Amtszeitbeschränkung die unabdingbare Unabhängigkeit in dem Amt sichere. Vonseiten der Opposition wurde zudem vorgeschlagen, der Wahl der oder des Landesbeauftragten ein Auswahlverfahren vorzuschalten, bei dem nach einer öffentlichen Ausschreibung auf Vorschlag der Fraktion von einem Landtagsausschuss eine Vorauswahl durchgeführt würde. Der Ausschuss sollte alle oder ausgewählte Bewerbende in öffentlicher Sitzung anhören. Die Intention, durch ein offenes und öffentliches Auswahlverfahren möglichst fachkundige, erfahrene und unabhängige Personen für diese Aufgabe zu finden, wurde vom ULD unterstützt. Ein weiterer Vorschlag aus der Opposition des Landtags bestand darin, für die Wahl von Landesdatenschutzbeauftragten eine Zweidrittelmehrheit zu verlangen. Die Oppositionsvorschläge wurden vom Landtag verworfen, die mehrfache Wiederwahlmöglichkeit wurde beschlossen.
Bei der dann im Juli 2014 durchgeführten Wahl erhielt keiner der beiden Kandidaten die nötige absolute Mehrheit. Umgehend beantragten die Oppositionsfraktionen im Landtag, das Amt des Landesbeauftragten für Datenschutz in geeigneter Weise öffentlich auszuschreiben. Ende August 2014 endete die offizielle Amtszeit des bisherigen Amtsinhabers. Dieser nimmt seitdem das Amt kommissarisch wahr, wie dies das LDSG vorsieht.

1.3          Für ein modernes Transparenzrecht

Die Koalitionsvereinbarung der Regierungsparteien auf Landesebene betont gleich an mehreren Stellen die Bedeutung der Transparenz des Verwaltungshandelns für die demokratische Teilhabe und die Mitbestimmung der Bürgerinnen und Bürger und weist auf die digitalen Möglichkeiten bei

Beteiligung und Dialog hin. Die Transparenz der Verwaltung wurde in diesem Zuge in Artikel 53 Verfassung des Landes Schleswig-Holstein aufgenommen. Damit wurde der Zugang zu amtlichen Informationen verfassungsrechtlich garantiert (Tz. 3.3).

In Hamburg wurde im Juni 2012 einstimmig ein Transparenzgesetz verabschiedet, mit dem die Verwaltung verpflichtet wird, verfügbare Informationen der Öffentlichkeit über das Internet bereitzustellen. Es geht damit über die Informationspflicht auf Antrag hinaus, wie sie auch in Schleswig-Holstein mit dem Informationszugangsgesetz besteht, und umfasst u. a. folgende Dokumente: Senatsbeschlüsse, Bürgerschaftsmitteilungen, Protokolle, Daseinsvorsorgeverträge, Organisations-, Geschäftsverteilungs- und Aktenpläne, Richtlinien, Fachanweisungen, Verwaltungsvorschriften, Statistiken, Gutachten, Studien, Geodaten, Umweltdaten, öffentliche Pläne, Subventions- und Zuwendungsvergaben oder wesentliche Unternehmensdaten städtischer Beteiligungen (34. TB, Tz. 1.3). Seit September 2014 lassen sich Millionen derartiger Dokumente online abrufen. Das öffentliche Interesse hieran ist enorm; die Resonanz auf das Angebot ist sehr gut. Die Informationsbereitstellung erfolgt mit Unterstützung von Dataport. In einigen Bundesländern bestehen Überlegungen, dem Hamburger Vorbild zu folgen.

Das ULD hat inzwischen Gespräche mit zivilgesellschaftlichen Initiativen, Parlamentariern und Angehörigen der Verwaltung geführt, welche Voraussetzungen geschaffen werden müssen, um ein derartiges Angebot auch für Schleswig-Holstein zu realisieren. Durch den städtischen Charakter und eine einheitliche Verwaltung, bei der elektronisches Dokumentenmanagement schon weit entwickelt ist, sind die Rahmenbedingungen für ein Transparenzregister in Hamburg günstiger als in einem Flächenland, dessen Verwaltung stark kommunal geprägt ist. Dies muss Schleswig-Holstein aber nicht davon abhalten, Vorbereitungen für eine aktive und systematische Bereitstellung von allgemeinen Verwaltungsinformationen zu treffen.

Hierbei kann auf die Erfahrungen in Hamburg zurückgegriffen werden. Bei der Etablierung von elektronischen Verfahren in der Verwaltung sollte darauf geachtet werden, dass Teile davon veröffentlichungsfähig gemacht werden können. Hierzu gehört, dass zwischen vertraulichen Informationen, etwa personenbezogener Art, und sonstigen Dokumenten unterschieden wird und dass Werkzeuge zur Anonymisierung und für die Recherchierbarkeit vorgesehen werden. Durch einen klaren rechtlichen Rahmen kann Verbindlichkeit bei der Verwaltung wie auch bei der interessierten Bevölkerung geschaffen werden. Auf die kommunale Selbstverwaltung und den unterschiedlichen Automatisierungsgrad in der Verwaltung sollte Rücksicht genommen werden. Dies kann dadurch erfolgen, dass den Kommunen die freiwillige Teilnahme an einem Landestransparenzregister angeboten und dass die informationstechnische Standardisierung in der Verwaltung gefördert wird.

Was ist zu tun?          
Es sind die technischen, organisatorischen und rechtlichen Voraussetzungen für die aktive Bereitstellung von Verwaltungsinformationen auch in Schleswig-Holstein zu schaffen.

 

1.4          Die Dienststelle

Die strukturellen Rahmenbedingungen der Tätigkeit des ULD verändern sich stark. Damit einher gehen neue Erwartungen und Anforderungen. Waren Datenschutzbeauftragte ursprünglich Kontrollinstanzen zur Gewährleistung der Gesetzmäßigkeit der personenbezogenen Datenverarbeitung, so fiel ihnen immer mehr die Aufgabe eines umfassenden präventiven Datenschutzdienstleisters zu. Dieser Trend wurde für das ULD 2000 durch die neue Aufgabe „Informationsfreiheit“ bestätigt. Spätestens seit dem Urteil des Europäischen Gerichtshofes vom Mai 2014 zur Google-Suche kann nicht mehr geleugnet werden, dass den Datenschutzbehörden auch eine Wächterfunktion für die Wahrung der digitalen Meinungsfreiheit zugewachsen ist. Insofern erwies sich der schleswig-holsteinische Gesetzgeber als weitsichtig, als er 1991 die Beratung zu Fragen der Sozialverträglichkeit von Datenverarbeitung zu den Aufgaben des Landesbeauftragten machte.

Heute kann diese gesellschaftliche Aufgabe weiter gefasst mit digitalem Grundrechtsschutz beschrieben werden, zu dem sämtliche, insbesondere auch die demokratischen Grundrechte zu zählen sind. Nachdem Hinweise darauf bekannt wurden, dass öffentliche deutsche Stellen personenbezogene Daten für sogenannte NATO-Todeslisten in Afghanistan übermittelt haben, bekommt selbst das grundgesetzliche Verbot der Todesstrafe eine digitale Komponente.
Digitaler Grundrechtsschutz bedeutet Parteinahme für den Menschen in der Informationsgesellschaft, der nicht nur von einem potenziell allwissenden Staat, dem „Big Brother“, sondern auch von potenziell allwissenden privaten Unternehmen bedroht wird. Diese Parteinahme bedeutet nicht Parteilichkeit, sondern das Vertreten anderweitig nicht oder ungenügend organisierter Interessen und Werte. Diese Funktion kann nur bei weitgehender rechtlicher wie faktischer Unabhängigkeit wahrgenommen werden. Während diese Funktion von der öffentlichen Verwaltung des Landes und vielen Wirtschaftsunternehmen in Deutschland positiv aufgegriffen wird, zeigt sich – lokal in Schleswig-Holstein wie auch europaweit –, dass dominierende Informationstechnikunternehmen Datenschutzbehörden als Gegner statt als Partner behandeln.

Der Aufgabenzuwachs der Datenschutzbehörden ist schon seit Jahren in Schleswig-Holstein jedoch nicht mehr mit einer Ausstattung zusätzlicher finanzieller Ressourcen verbunden. Dies veranlasste das ULD, das seit 2007 aufgebaute Europäische Datenschutz-Gütesiegel in private Hände zu übertragen (Tz. 9.3). Damit ist keine Abkehr vom präventiven Ansatz des ULD verbunden, der zum Ausdruck kommt in einem umfassenden Beratungsangebot, dem Betrieb der DATENSCHUTZAKADEMIE Schleswig-Holstein (Tz. 13), drittmittelfinanzierten Forschungsprojekten zur Weiterentwicklung des Datenschutzes und datenschutzfreundlicher Technik (Tz. 8) sowie der Durchführung von Audit- und Gütesiegelverfahren (Tz. 9).

Das ULD erfüllt im Rahmen der Arbeitsteilung der deutschen Aufsichtsbehörden einige wichtige bundesweite Funktionen. Dies sind die Leitung des Arbeitskreises Sicherheit der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, der Arbeitsgruppe Versicherungswirtschaft sowie der Unterarbeitsgruppe Geodaten und die Geschäftsführung des gemeinsam betriebenen virtuellen Datenschutzbüros als zentrales deutschsprachiges Datenschutzportal. Kooperationen erfolgen auch mit Verbraucherorganisationen, allen voran mit der Verbraucherzentrale Schleswig-Holstein und dem Verbraucherzentrale Bundesverband (vzbv), sowie Wirtschaftsverbänden, etwa der Digitalen Wirtschaft Schleswig-Holstein (DiWiSH) oder dem bundesweiten D21-Gütesiegel-Board.

Ende 2014 nahm das ULD einen Relaunch der eigenen Internetpräsentation vor. Die Masse der hierüber verfügbar gemachten Materialien und neue Möglichkeiten der Webseitenadministration legten diese Überarbeitung nahe. Mit den verfügbaren personellen Ressourcen war leider kein reibungsloser Übergang auf die neue Form der Präsentation möglich. Doch bietet die neue Webseitentechnik die Möglichkeit zu einer zukunftsoffenen Weiterentwicklung. Das ULD wird dauerhaft daran arbeiten, die Zugänglichkeit und Nutzbarkeit des Webangebotes zu verbessern, und nimmt insofern Anregungen gern entgegen. Um Informationsverluste zu vermeiden, wurden die Inhalte der alten Webseite eingefroren und sind unter den alten Deep Links weiterhin im Internet abrufbar.

https://www.datenschutzzentrum.de/uld-alt/ index.html

1.5          Maulkorb für den Datenschutzbeauftragten?

Anfang 2012 berichtete die Zeitschrift „Der Spiegel“, dass Apothekenrechenzentren nicht hinreichend anonymisierte Rezeptdaten an private medizinische Informationsdienstleister übermitteln, die diese für interessierte Stellen, insbesondere der Pharmaindustrie, in aufbereiteter Form bereitstellen. Dadurch ausgelöste Ermittlungen von Datenschutzaufsichtsbehörden bestätigten den Verdacht. Das insbesondere für schleswig-holsteinische Apotheken tätige Norddeutsche Apotheken-Rechenzentrum (NARZ) stellte umgehend seine pseudonyme Datenweitergabe ein und liefert nur noch aggregierte Daten an die Wirtschaft. Andere bundesweit, also auch in Schleswig-Holstein diese Apothekenleistung anbietende Unternehmen folgten diesem guten Beispiel nicht. Dies veranlasste den „Spiegel“ im August 2013, erneut zu berichten und den Leiter des ULD damit zu zitieren, dass – unter Nennung des süddeutschen Hauptwettbewerbers des NARZ – es traurig wäre, „wenn die Dienstleister des Vertrauensberufs Apotheker erst durch Gerichtsprozesse zur Vertraulichkeit zu veranlassen wären“. Es handele sich anscheinend um ein „lohnendes Geschäftsmodell“ durch „illegale Nutzung der Rezeptdaten“. Der Bericht provozierte weitere Presseanfragen beim ULD, anlässlich der diese Äußerungen bekräftigt wurden.

Das benannte Apothekenrechenzentrum in Süddeutschland, das ein Drittel aller deutschen Apotheken als Kunden hat, ließ daraufhin nichts unversucht, gegen die Äußerungen rechtlich vorzugehen, zunächst per Unterlassungsverpflichtungserklärung, dann per Antrag auf Erlass einer einstweiligen Anordnung. Tatsächlich entsprach das Verwaltungsgericht Schleswig (VG) diesem Antrag mit Beschluss vom November 2013. Es meinte, das ULD sei für die gemachten Äußerungen nicht zuständig; zuständig sei nur die lokale Aufsichtsbehörde, die das kritisierte Verfahren als rechtmäßig eingestuft hatte. Äußerungen über Unternehmen müssten anonymisiert erfolgen, eine kontroverse Diskussion unter Datenschutzbehörden müsse intern ausgetragen werden, auch wenn Apotheken in Schleswig-Holstein betroffen sind.

https://www.datenschutzzentrum.de/artikel/863-.html

Das im Beschwerdeverfahren angerufene Oberverwaltungsgericht Schleswig-Holstein (OVG) hob den Beschluss des VG in den wesentlichen Punkten auf und stellte das Recht des ULD zu öffentlicher Kritik wieder her. Ausdrücklich bestätigte das OVG, dass das ULD die nach seiner Ansicht rechtswidrige Praxis der Datenverarbeitung von Abrechnungszentren auch weiterhin als illegal und rechtswidrig bezeichnen dürfe, und dies sogar unter namentlicher Nennung. Es müsse allerdings die entsprechenden Äußerungen „als seine Auffassung kennzeichnen“ und dabei mit gebotener Sachlichkeit „zurückhaltend formulieren“. Das OVG blieb in seinem Beschluss allerdings die Antwort schuldig, worin die überzogene Argumentation zu sehen und weshalb diese nicht als ULD-Meinung zu erkennen gewesen sei. Das OVG vermied, ebenso wie schon das VG, eine inhaltliche Bewertung der vom ULD vorgelegten unstreitigen Fakten. Ungeachtet dessen ist mit dem Beschluss des OVG weiterhin eine qualifizierte öffentliche und kontroverse Datenschutzdebatte unter Beteiligung der Aufsichtsbehörden in Deutschland möglich.

https://www.datenschutzzentrum.de/uploads/medizin/apotheken/OVG-ULDvsVSA-28022014-anon.pdf

Soweit erkennbar, haben weder das süddeutsche noch weitere Apothekenrechenzentren ihre Übermittlungspraxis von nicht hinreichend anonymisierten Rezeptdaten beendet. Diese Praxis wird vom ULD weiterhin – anders als von einer süddeutschen Aufsichtsbehörde – als rechtswidrig bewertet (Tz. 4.6.8). Dieser sich täglich fortsetzende zigmillionenfache Datenschutzverstoß schädigt – nach Ansicht des ULD – nicht nur das Vertraulichkeitsversprechen der Apotheken, sondern auch die Marktsituation des NARZ als datenschutzkonform handelndes Rechenzentrum. Dass das ULD mit seiner Kritik auch in der Sache richtig liegt, mag man daraus ablesen, dass das betroffene in Süddeutschland gelegene Abrechnungszentrum die eigentliche gerichtliche Klärung bis heute vermieden hat. Es ging ihm offenbar nur darum, die öffentlich geäußerte Kritik einer Datenschutzaufsichtsbehörde, hier des ULD, zu unterbinden.

Zum Inhaltsverzeichnis

Zum nächsten Kapitel