19. TB (1997) - Zur Situation des Datenschutzes in Schleswig-Holstein

19. Tätigkeitsbericht (1997)

1.	Zur Situation des Datenschutzes in Schleswig-Holstein
1.1	Beratung ist notwendig, Kontrolle gleichwohl unverzichtbar
	Es ist ein gutes Zeichen, daß so viele Behörden von sich aus an der Einhaltung des Datenschutzes interessiert sind und in steigendem Maße die Beratung der Dienststelle in Anspruch nehmen. Auch uns ist es lieber, wenn wir dazu beitragen können, Fehlentwicklungen von vornherein zu vermeiden, statt sie erst im Wege der Kontrolle und Beanstandung aufzugreifen. Vielen Behörden ist klar geworden, daß die Ansprüche an das technische Know-how und an die Kenntnis der einschlägigen Gesetzesbestimmungen bei der Konzeption neuer Verfahren so hoch sind, daß man dafür besser eine fachliche Beratung sucht, so wie man in bestimmten Fällen einen Architekten, Steuerberater oder einen Anwalt braucht. Wir haben also einen erheblichen Teil unserer Kapazität in Beratungsdienstleistungen gesteckt. Die Bandbreite reicht von den Fortbildungsangeboten der DATENSCHUTZAKADEMIE bis zur Mitarbeit in Projektgruppen und bei der Vorbereitung einzelner neuer Automationsvorhaben. Dabei legen wir unser Hauptaugenmerk darauf, daß zunächst klar definiert wird, welchem konkreten Zweck ein Verarbeitungsverfahren dienen soll, daß erst dann die technischen Komponenten festgelegt werden und daß schließlich die Anforderungen der Datenschutzverordnung (Dokumentation des Verfahrens, Test und Freigabe sowie Sicherheitskonzepte) beachtet werden. Was dies mit Datenschutz zu tun hat? Eine wirksame Kontrolle der Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere des Erforderlichkeits- und des Zweckbindungsgrundsatzes setzt voraus, daß ein am Gesetz orientiertes "Sollkonzept" des Technikeinsatzes vorliegt. Wer umgekehrt verfährt, also zuerst eine technische Infrastruktur aufbaut und dann die zu erledigenden Aufgaben definiert, hat oft alle Hände voll zu tun, die Risiken und Nebenwirkungen auf ein akzeptables Maß zu reduzieren. Es geht dabei z.B. darum zu verhindern, daß Betriebssysteme, Protokolle und Datenbestände manipuliert werden können, ohne "Fingerabdrücke" zu hinterlassen, externe Dienstleister wie Softwarehäuser, Systemlieferanten und Wartungsdienste unbeaufsichtigt an den Datenbeständen arbeiten können, Mitarbeiter eigene Datenbestände aufbauen, die die Vorgesetzten nicht mehr kontrollieren können, auf Einzelplatz-PC selbst einfachste Sicherheitskomponenten fehlen, Mitarbeiter Software entwickeln, die nicht dokumentiert und z.B. bei ihrem Ausscheiden nicht mehr handhabbar ist. Daß last but not least mit einer streng an der Gesetzeslage und den Notwendigkeiten der Aufgabenerfüllung orientierten Technikausstattung auch eine Menge Geld gespart werden kann, ist ein durchaus angenehmer Nebeneffekt. Im Mittelpunkt der Beratung standen im Berichtsjahr die Großprojekte der Polizei und Justiz MEGA, MESTA und COMPAS (vgl. Tz. 4.2.4, Tz. 4.4.1, Tz. 4.4.2), die Zusammenlegung der Rechenzentren der Oberfinanzdirektion und der Datenzentrale im Rahmen von PILS (vgl. Tz. 4.10.1), der Entwurf des Krebsregistergesetzes und insbesondere der notwendigen Umsetzungskonzepte (vgl. Tz. 4.8.1), die neue Konzeption für Test und Freigabe im Kommunalbereich (vgl. Tz. 6.3), unzählige Probleme der Kommunen mit dem Aufbau eigener Datenverarbeitungssysteme (vgl. Tz. 6.2). Schließlich gehört zum Beratungskonzept unserer Dienststelle auch, daß es keine Beanstandungen ohne konkrete Hinweise gibt, wie der Mangel behoben und für die Zukunft vermieden werden kann. Gleichwohl zeigte sich auch im Berichtsjahr wieder, daß auf Kontrollen zur Durchsetzung des Datenschutzes nicht verzichtet werden kann. Ein typisches Beispiel ist die Datenverarbeitung der Polizei. Dort waren in den vergangenen Jahren nach mehreren Kontrollen und infolge des neuen Landesverwaltungsgesetzes die Datenbestände drastisch reduziert und auf das gesetzlich zulässige Maß zurückgeführt worden. Im Bereich des polizeilichen Staatsschutzes allerdings, der bislang noch nicht systematisch geprüft worden war, fanden wir Datensammlungen vor, an denen unsere Beanstandungen und die Änderungen des Polizeirechts mehr oder weniger spurlos vorübergegangen waren. Dies ist gerade im Hinblick auf die Sensibilität der Datenbestände des Staatsschutzes besonders problematisch. Man fragt sich, wieso die notwendigen Korrekturen erst nach unserer Kontrolle, über vier Jahre nach Inkrafttreten des Landesverwaltungsgesetzes, vorgenommen werden (vgl. Tz. 4.2.1). Obwohl das Patientengeheimnis eines der ältesten Datenschutzrechte ist, zu dessen Einhaltung jeder Arzt schon nach der ärztlichen Berufsordnung verpflichtet ist, konnten wir bei unserer Kontrolle feststellen, daß es in einem Krankenhaus relativ einfach war, an Patientenakten zu gelangen. Erst jetzt wird dort Abhilfe geschaffen (vgl. Tz. 6.6.2). Sozialdaten gehören zu den besonders schützenswerten Daten. Gleichwohl gelangte der gesamte Datenbestand eines Sozialamtes an ein Servicehaus, weil die Behörde wegen mangelhafter Organisation nicht selbst in der Lage war, einen Fehler im PC zu beheben. Nach unserer Kontrolle sind umfangreiche Maßnahmen zur Abhilfe eingeleitet worden (vgl. Tz. 6.6.1). Durch unsere Kontrollen des Schleswig-Holstein-Netzes und des Kommunikationsnetzes IKONET wurden Sicherheitsmängel sichtbar, an deren Beseitigung jetzt gearbeitet wird (vgl. Tz. 7.8, Tz. 7.9). Obwohl die gesetzlichen Bestimmungen für die Löschung von Fahrzeughalterdaten eindeutig sind, verwandten Zulassungsstellen ein EDV-Verfahren, das diese Löschungsfristen ignoriert. Jetzt müssen die Programme nachgebessert werden (vgl. Tz. 4.6.1). Eigentlich leuchtet es ein, daß Ordnungswidrigkeitenverfahren nicht noch jahrzehntelang in einer Bauakte aufbewahrt werden dürfen, gerade wenn längst ein neuer Eigentümer das Grundstück besitzt. Erst nach unserer Kontrolle beginnen jetzt die Bauämter, ihre Akten neu zu organisieren (vgl. Tz. 4.1.1). Daß ein Briefkasten so gestaltet sein muß, daß man nicht von außen die Post wieder herausangeln kann, sollte nicht streitig sein. Umso mehr wenn es um ein Sozialamt geht, bei dem üblicherweise sensible Schreiben eingehen. Ein Petent hatte sich bei der Stadt Kiel vergeblich über einen völlig ungenügenden Briefkasten beschwert. Erst als er den brisanten Inhalt des Briefkastens bei uns ablieferte und wir die Angelegenheit vor Ort überprüften, kam die Verwaltung in Schwung (vgl. Tz. 9.12). Wenn gegen einen Mitarbeiter wegen sexueller Belästigung am Arbeitsplatz Disziplinarermittlungen geführt werden, versteht es sich von selbst, daß die Unterlagen im Interesse aller Beteiligten vertraulich behandelt werden. Bei unserer Kontrolle entdeckten wir die Daten aber auf einem PC, auf dem sie "vergessen" worden waren (vgl. Tz. 6.6.3). Diese kleine Aufzählung, die keineswegs abschließend ist, zeigt, daß der Datenschutz bei aller Aufgeschlossenheit vieler Behörden kein Selbstgänger ist. Gerade weil alle Welt nur von Einsparung und Verschlankung redet, droht der Datenschutz der Bürgerinnen und Bürger auf der Strecke zu bleiben, wenn seine Einhaltung nicht regelmäßig überprüft würde. Mit einem neuen Prüfkonzept haben wir im Berichtsjahr begonnen, unsere knappen Ressourcen möglichst wirkungsvoll einzusetzen: angekündigte unangekündigte Kontrollen (AUK). Während wir ansonsten unsere systematischen Kontrollen in der Regel vorher ankündigen, wird bei den AUK wie folgt verfahren: Ca. 50 Behörden erhalten jeweils die Mitteilung, sie müßten innerhalb der nächsten sechs Monate mit einer unangemeldeten Kontrolle rechnen. Aus den 50 werden etwa zehn durch Los bestimmt, die dann tatsächlich unangemeldeten Besuch erhalten. Dabei werden in erster Linie Aspekte der äußeren Datensicherheit und des sorgfältigen Umgangs mit Daten geprüft, also z.B., ob Büros beim Verlassen abgeschlossen werden, ob PC ausgeschaltet werden, wenn sie unkontrolliert sind, ob Akten auf den Fluren oder in offenen Schränken zugänglich sind, aber auch, welche Kopien mehr oder weniger zerrissen in den Papierkorb, z.B. neben dem Kopierer, geworfen werden. Die Ergebnisse werden derzeit ausgewertet und in den nächsten Tätigkeitsbericht aufgenommen.
1.2	Die Ausstattung der Dienststelle
	Auch im Berichtsjahr hat das Parlament dem Zusammenhang zwischen zunehmender Automatisierung der Datenverarbeitung und der Verstärkung der Datenschutzkontrollen und -beratungen Rechnung getragen. Trotz schwieriger Haushaltslage wurden neue Stellen bewilligt, so daß die Dienststelle nunmehr insgesamt 20 Mitarbeiterinnen und Mitarbeiter umfaßt. Wir müssen versuchen, mit unseren Mitteln und Ressourcen Schritt zu halten mit den enormen Investitionen des Landes für Informationstechnik in den kommenden Jahren. Deshalb wurde der technische Anteil im Personalbereich in den vergangenen Jahren systematisch ausgebaut. Von den Mitarbeiterinnen und Mitarbeitern, die unmittelbar für Kontrolle und Beratung eingesetzt werden können, gehört inzwischen nahezu die Hälfte den Technikreferaten an. Durch den Aufbau eines eigenen IT-Labors soll dafür Sorge getragen werden, daß diese sich stets mit neuesten Hard- und Softwarekomponenten vertraut machen und so deren Nutzungsmöglichkeiten und die Schwächen beurteilen können. In zunehmendem Maße beobachten wir die Bestellung behördlicher Datenschutzbeauftragter. Die Kreise Pinneberg und Schleswig sind hier mit gutem Beispiel vorangegangen. In anderen Bereichen, z.B. bei den Direktionen der Polizei, stehen Maßnahmen in dieser Richtung offenbar bevor. Gibt man engagierten behördlichen Datenschutzbeauftragten die notwendigen Kompetenzen, Fortbildungs- und Arbeitsmöglichkeiten, so ist dies von Vorteil für Bürger und Behörden. Die meisten behördlichen Datenschutzbeauftragten absolvieren die einschlägigen Kurse der DATENSCHUTZAKADEMIE, die zu einem festen Bestandteil unserer Arbeit geworden ist. Sie finanziert sich nach wie vor nur über die Einnahmen aus den Kursen und verursacht keine Belastung des Landeshaushalts. Die Nachfrage nach den Kursen der DATENSCHUTZAKADEMIE ist ungebrochen, so daß die Beratungstätigkeit der Dienststelle sich nach wie vor auf die Grundlagenarbeit der DATENSCHUTZAKADEMIEstützen kann. Das systematische Zusammenspiel von Kontrolltätigkeit und Beratung im Rahmen der DATENSCHUTZAKADEMIE dokumentieren auch in diesem Bericht die Hinweise auf die einschlägigen Kurse.
1.3	Die Wirkung unserer Arbeit
	Datenschutzbeauftragte haben die Aufgabe zu kontrollieren und zu kritisieren, wenn sie Mängel bei der Verarbeitung personenbezogener Daten feststellen. Auch dieser Bericht legt an vielen Stellen den Finger in die Wunde, damit Fehlentwicklungen aufgezeigt und nach Möglichkeit verhindert werden. Auf diese Weise werden aber "Kritik", "Bedenken", "Beanstandung", "gegen" zu häufig gebrauchten Begriffen im Wortschatz der Datenschutzbeauftragten. Bei manchen entsteht daher der Eindruck, sie seien aus Prinzip gegen alles und jedes. Am besten frage man sie nicht, denn sie hätten ohnehin Bedenken. Die Wirklichkeit sieht, jedenfalls bei uns in Schleswig-Holstein, anders aus. Um einmal deutlich zu machen, wie sich die Arbeit der Datenschutzbeauftragten und insbesondere die konstruktive Zusammenarbeit mit den Behörden konkret für den Grundrechtsschutz der Bürgerinnen und Bürger auswirkt, ist in diesem Bericht erstmals eine Liste enthalten, wofür wir uns erfolgreich eingesetzt haben und wo wir - was uns ganz wichtig ist - Konsens mit den Behörden erreicht haben (vgl. Tz. 11.). Sie macht deutlich, daß "der Datenschutz" nicht in erster Linie gegen etwas ist, sondern für konsequente Verbesserungen des Grundrechtsschutzes im Interesse der Bürgerinnen und Bürger.