16. TB (1994) - Zur Lage des Datenschutzes in Schleswig-Holstein

16. Tätigkeitsbericht (1994)

1.	Zur Lage des Datenschutzes in Schleswig-Holstein

1.1	Das neue Landesdatenschutzgesetz in der Praxis
	Mit Ende des Berichtsjahres sind die Übergangsfristen im Landesdatenschutzgesetz abgelaufen. Das Gesetz ist jetzt auch im konventionellen Bereich in vollem Umfang zu beachten. Die Kontrollen im vergangenen Jahr haben verschiedene Mängel bei der Umsetzung des Gesetzes gezeigt. Dies gilt vor allem für die Transparenzvorschriften, die bei der Datenerhebung zu beachten sind (vgl. Tz. 4.2.1), für die Datensicherung und generell für die Ordnungsmäßigkeit der Datenverarbeitung (Tz. 6.6). Es wird automatisiert, ohne daß klare fachliche Konzepte vorliegen, die den Technikeinsatz steuern. Auch der Prozeß der Automatisierung selbst wird nur in Ausnahmefällen von stringenten Verfahrensregeln begleitet. Immer wieder stellen wir bei den Kontrollen fest, daß selbst die Geräteverzeichnisse, d.h. der Überblick, welche Computer überhaupt in der Behörde vorhanden sind, nicht vorliegen (Tz. 6.6.4). Auch die Meldung der Dateien erfolgt eher schleppend. Die uns bislang vorliegenden Dateibeschreibungen decken nur einen Bruchteil der im Land betriebenen Verfahren ab. Viele Behörden warten ebenso dringend wie wir auf die Verordnung der Landesregierung zu den Einzelheiten einer ordnungsgemäßen automatisierten Datenverarbeitung. Nach umfangreichen Vorarbeiten im Berichtsjahr besteht Hoffnung, daß die Verordnung noch im Jahre 1994 in Kraft treten könnte (Tz. 6.2). Generell zeigt sich, daß vom Erlaß eines fortschrittlichen Datenschutzgesetzes zur konsequenten Umsetzung seiner Regelungen ein weiter Weg ist. Dabei die Balance zwischen Stringenz und Flexibilität zu finden, ist mitunter deshalb so schwer, weil einerseits eine übermäßige Bürokratisierung und Formalisierung der Datenschutzpraxis vermieden werden soll und weil außerdem davon ausgegangen werden kann, daß auf Dauer tatsächlich nur solche Datenschutzbestimmungen eingehalten werden, deren Sinnhaftigkeit für die Verarbeiter einsehbar ist. Andererseits ist eine allgemeine Aussage, welche Daten als besonders sensibel anzusehen sind, ohne Kenntnis des Verwendungszusammenhanges kaum möglich. Die Adresse mögen z.B. viele als triviales Datum ansehen. Solange nur Post, Blumen o.ä. geschickt werden sollen, mag dies gelten. In den Händen eines aggressiven Neonazis kann die Anschrift eines "ausländerfreundlichen" Politikers aber ein höchst sensibles Datum sein. Wir sind bei unseren Kontrollen und Beratungen bemüht, die Umsetzung des neuen Datenschutzrechts auf allen Ebenen behutsam und mit Fingerspitzengefühl, zugleich aber mit Konsequenz und Engagement, zu betreiben.
1.2	Beratung und Kontrolle
	Auch im Berichtsjahr hatte die Beratung in der Praxis ein deutliches Übergewicht gegenüber der Kontrolle. Es ist ein positives Zeichen, daß nicht nur die Zahl der Eingaben, sondern auch der Beratungsersuchen deutlich gestiegen ist. Viele Behörden entdecken mehr und mehr, welche Vorteile es hat, sich in datenschutzrechtlichen Zweifelsfragen beraten zu lassen, bevor Entscheidungen und Maßnahmen getroffen werden. Von einer durch rechtzeitige Beratung abgesicherten richtigen Verfahrensweise bei der Datenverarbeitung (vgl. dazu Tz. 6.1) profitieren am Ende natürlich nicht nur die Behörden, sondern in erster Linie die Bürgerinnen und Bürger. Eine besondere Form der Beratung sind die regionalen Datenschutztage. Gemeinsam mit den Landräten wurden derartige Veranstaltungen im Berichtsjahr in Itzehoe, Ratzeburg, Plön und Eutin durchgeführt. In Vorträgen, Diskussionen, Arbeitskreisen und Einzelgesprächen wurden die Fragen der praktischen Umsetzung des Datenschutzes mit Bürgerinnen und Bürgern, Schülern, Datenverarbeitern und Mitarbeitern der Verwaltung diskutiert. Parallel dazu wurden in einer Ausstellung Einzelheiten der Datenverarbeitung und Datensicherung in Schleswig-Holstein gezeigt. Obwohl man nicht gerade sagen kann, daß das Thema Datenschutz derzeit besonders in Mode ist, waren die Veranstaltungen durchweg sehr gut besucht und die Vorträge fanden vor vollen Sälen statt. Die Kontrolltätigkeit hatte im vergangenen Jahr ihren Schwerpunkt bei den Fragen der Sicherheit und Ordnungsmäßigkeit der Datenverarbeitung (Tz. 6.6). Die dabei gefundenen Mängel zeigen seit Jahren ein fast konstantes Bild. Andere Kontrollen befaßten sich mit der Umsetzung des neuen Datenschutzrechts in der Kommunalverwaltung (Tz. 4.2.1), der Verarbeitung von Personaldaten (Tz. 4.1.1.1) und mit dem Datenschutz in der Schule (Tz. 4.8.1). Erstmals wurde auch in dem besonders sensiblen Bereich der Datenverarbeitung in der Psychiatrie geprüft. Fast überall zeigte sich ein durchwachsenes Bild. Der Datenschutz hat in den Behörden zweifellos Fuß gefaßt und Wirkung erzielt. Die ganz großen Skandale haben wir deshalb nicht gefunden. Ein "einwandfrei" war aber ebensowenig zu vergeben. Vielmehr haben die geprüften Stellen weitere Verbesserungen vorzunehmen.
1.3	Die Situation der Dienststelle
	In der Dienststelle sind derzeit 14 Mitarbeiterinnen und Mitarbeiter tätig. Im Berichtsjahr konnte ein neuer Sachbearbeiter eingestellt werden, für 1994 ist eine weitere neue Sachbearbeiterstelle bewilligt. Dies sind nur Tropfen auf den heißen Stein. Im gleichen Zeitraum ist nämlich auch die elektronische Datenverarbeitung in der Verwaltung weiter zügig ausgebaut worden. Zugleich wurde das Datenverarbeitungsrecht im vergangenen Jahr spürbar komplizierter. Mit den neu geschaffenen Übermittlungs- und Datenabgleichsmöglichkeiten sind neue Risiken für das Recht auf informationelle Selbstbestimmung entstanden, mit denen eine Verstärkung der Kontrollkapazität einhergehen müßte. Kurzfristige Verstärkungen der Dienststelle sind angesichts der finanziellen Situation der öffentlichen Hand wohl nicht zu erwarten. Daraus folgt, daß auch weiterhin mit Defiziten bei der Datenschutzkontrolle zu rechnen ist. Wenn Staat und Gesellschaft dieses auf die Dauer nicht in Kauf nehmen wollen, wird man Überlegungen anstellen müssen, auf welchem Wege eine vernünftige und verantwortbare Korrelation zwischen dem Ausbau der elektronischen Datenverarbeitung in der öffentlichen Verwaltung und einer entsprechenden Kontrollkapazität hergestellt und kontinuierlich aufrecht erhalten werden kann.
1.4	Die DATENSCHUTZAKADEMIE SCHLESWIG-HOLSTEIN
	Eine Möglichkeit, für den Datenschutz möglichst breite Wirkung zu erzielen, sehen wir in der Öffentlichkeitsarbeit, Vortragstätigkeit und insbesondere in der DATENSCHUTZAKADEMIE SCHLESWIG-HOLSTEIN. Dort können sich alle, die in der öffentlichen Verwaltung für Fragen des Datenschutzes zuständig sind, fortbilden lassen. Die DATENSCHUTZAKADEMIE versteht sich als praxisorientierte Fortbildungsstätte, die Wissen vermittelt, das unmittelbar an den Arbeitsstellen umgesetzt werden kann. Deshalb kommen auch die Referenten der DATENSCHUTZAKADEMIE in erster Linie aus der Praxis. Die bisher dort abgehaltenen Kurse waren gut besucht. Referenten und Teilnehmer haben sich zufrieden geäußert. Verschiedentlich wurde der Wunsch nach einer Erweiterung und weiteren Spezialisierung des Kursangebotes laut. Soweit die vorhandenen Kapazitäten ausreichen, soll diesen Wünschen Rechnung getragen werden. Einen entscheidenden Vorteil der DATENSCHUTZAKADEMIE sehen wir darin, daß zu ihrer Einrichtung nicht eine neue Behörde, Institution o.ä. ins Leben gerufen wurde, sondern vorhandene Kapazitäten sinnvoll zusammengeführt wurden. Die DATENSCHUTZAKADEMIE ist nämlich ein Kooperationsprojekt der Heimvolkshochschule Leck im Deutschen Grenzverein und des Landesbeauftragten für den Datenschutz. Erstere steuert ihre Erfahrung und Kapazität in Fragen der Erwachsenenfortbildung bei, während die inhaltliche Konzipierung und Realisierung der Kurse in unseren Händen liegt. Einige Veranstaltungen der DATENSCHUTZAKADEMIE werden zusammen mit der Verwaltungsschule, der Verwaltungsfachhochschule und der Polizeischule durchgeführt. Für die Dienststelle des Landesbeauftragten hat die DATENSCHUTZAKADEMIE neben den Vorteilen, die eine fundierte Ausbildung von möglichst vielen Mitarbeitern der öffentlichen Verwaltung in Datenschutzfragen bietet, noch weitere positive Aspekte. Sie eröffnet die Möglichkeit, die Vortragstätigkeit zu bündeln und auf ein Kurrikulum hin zu orientieren. Das Datenschutzthema wird so in der Fortbildungslandschaft mehr und mehr von einem Aperçu zu einem eigenständigen Thema. Die Möglichkeit, in der DATENSCHUTZAKADEMIE Multiplikatoren auszubilden, potenziert die Wirkung der Vorträge, so daß sich der Einsatz am Ende für die Sache des Datenschutzes lohnen dürfte.