21. Tätigkeitsbericht (1999)
14. |
Anhang
|
|
|
14.1 |
Die Vorschläge zur Novellierung des Landesdatenschutzgesetzes auf einen Blick
|
Mit Beschluß vom 3. September 1998 beauftragte der Schleswig-Holsteinische Landtag den Landesbeauftragten für den Datenschutz mit der Erstellung eines Berichts zur Notwendigkeit der Novellierung des Landesdatenschutzgesetzes. Dabei sollen konkrete Vorschläge anhand einiger im Beschluß aufgeführter Kriterien gemacht werden. Im wesentlichen geht es um folgende Gesichtspunkte:
Am 24. Oktober 1995 haben das Europäische Parlament und der Rat der Europäischen Union die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EG-Datenschutzrichtlinie) erlassen. Die Richtlinie hat das Ziel, das Datenschutzniveau innerhalb der Europäischen Union zu vereinheitlichen, um den freien Datenverkehr im Gebiet der Union zu erleichtern. Sie hätte bis zum 24. Oktober 1998 durch den nationalen Gesetzgeber umgesetzt werden müssen. Damit ist auch der schleswig-holsteinische Gesetzgeber verpflichtet, das Landesdatenschutzgesetz
umgehend an die Richtlinie anzupassen. Seit der letzten Neufassung des Landesdatenschutzgesetzes im Jahre 1991 hat es eine stürmische Weiterentwicklung der Datenverarbeitungstechnik gegeben. So ist beispielsweise das Internet zu einem massenhaft genutzten Kommunikationsmedium geworden, an dem zunehmend auch Verwaltungsbehörden als Informationsanbieter oder Nutzer teilhaben. Generell haben die Automatisierung der Datenverarbeitung im Lande und die Vernetzung der eingesetzten Systeme in den vergangenen Jahren stetig zugenommen. Es wurden völlig neue Datenbank-, Client-Server-, Kommunikations- und Chipkartensysteme entwickelt, die mehr und mehr auch in Schleswig-Holstein zur Anwendung kommen. Diese neuen technischen Entwicklungen bedrohen aber nicht nur die Privatsphäre der Bürger; sie können auch dazu genutzt werden, den Datenschutz praktisch umzusetzen. Diese datenschutzfreundlichen Technologien finden im Datenschutzrecht bislang keine Berücksichtigung.
Die Akzeptanz des Datenschutzrechts litt in den letzten Jahren zunehmend daran, daß die Vorschriften immer komplizierter geworden und gelegentlich nur noch schwer verständlich sind. Diese Defizite sind bei der Novellierung des Landesdatenschutzgesetzes möglichst zu beheben. Das Ziel muß es sein, ein praktikables Datenschutzrecht für eine moderne, serviceorientierte Verwaltung zu schaffen, ohne daß dabei der Schutz der Bürgerrechte aufgeweicht wird. Der Vorschlag für ein novelliertes Landesdatenschutzgesetz
(LDSG-E) versucht auf folgende Weise, diesen Anforderungen gerecht zu werden:
1. Umsetzung der EG-Datenschutzrichtlinie:
Entsprechend den Vorgaben der Richtlinie werden sogenannte sensible Daten einem besonderen Schutz unterstellt. Es handelt sich dabei z. B. um Daten über die Gesundheit, über die rassische oder ethnische Herkunft oder über politische Meinungen. Nach § 10 Abs. 4 LDSG-E dürfen diese Daten nur auf der Grundlage bereichsspezifischer Vorschriften verarbeitet werden.
Nach der Richtlinie ist es unzulässig, die Betroffenen nachteiligen Entscheidungen zu unterwerfen, die ohne menschliches Zutun in einem automatisierten Verfahren getroffen wurden, bei dem bestimmte Aspekte der Person der Betroffenen bewertet wurden. Diese Regelung ist in § 19 LDSG-E umgesetzt.
Als ein neues Rechtsinstitut zum Schutze der Betroffenen sieht die Richtlinie ein sog. Widerspruchsrecht vor. Es kommt dann zum Tragen, wenn die Datenverarbeitung zwar rechtmäßig ist, sich jedoch aus besonderen persönlichen Konstellationen eine Unzumutbarkeit für den Betroffenen ergibt. Der Entwurf setzt diese Vorgabe in § 29 LDSG-E unter der Bezeichnung "Einwand gegen die Datenverarbeitung" um. In Übereinstimmung mit der Richtlinie darf die Datenübermittlung an öffentliche und nichtöffentliche Stellen in den Mitgliedstaaten der EU unter denselben Voraussetzungen wie innerhalb eines Mitgliedstaates erfolgen. Die Übermittlung in Drittstaaten ist grundsätzlich nur zulässig, wenn dort ein angemessenes Datenschutzniveau herrscht. Die Einzelheiten dazu regelt § 15 LDSG-E. Die Richtlinie schreibt eine sogenannte Vorabkontrolle der Datenverarbeitung vor. Dabei sollen solche Verarbeitungen präventiv geprüft werden, die besondere Gefährdungen für die Rechte der Betroffenen mit sich bringen können. Nach § 5 Abs. 3 LDSG-E dürfen diese Verfahren nur eingesetzt werden, wenn die Vorabkontrolle ergeben hat, daß Rechtsverletzungen mit hinreichender Sicherheit ausgeschlossen sind.
Die Richtlinie legt den Umfang der Benachrichtigung des Betroffenen
bei der Datenerhebung sowie den Umfang des Auskunftsrechts fest. Diese Regelungen sind in den §§ 26 und 27 LDSG-E zusammengefaßt. In Übereinstimmung mit der Richtlinie ist in § 9 LDSG-E geregelt, daß die Bestellung eines internen Datenschutzbeauftragten bei der datenverarbeitenden Stelle die Meldepflicht für automatisierte Verfahren beim Landesbeauftragten für den Datenschutz entfallen läßt. Eine dezentralisierte und praxisnahe Kontrolle kann deutliche Vorteile haben. Dabei wird diese Lösung jedoch nicht zwingend vorgeschrieben. Die Stellen können auf die Bestellung eines Datenschutzbeauftragten auch verzichten, unterliegen dann aber weiterhin der Meldepflicht. Für den Fall, daß die automatisierte Datenverarbeitung zu Schäden bei den Betroffenen führt, sieht die Richtlinie eine Beweislastverteilung zu Lasten der datenverarbeitenden Stelle vor. Dies wird in § 30 Abs. 4 LDSG-E umgesetzt.
2. Berücksichtigung der Veränderungen in der Datenverarbeitungstechnik
Die bisherigen "10 Gebote" zur Datensicherheit in § 7 Abs. 2 LDSG sind an der Großrechnertechnologie orientiert. § 6 Abs. 1 LDSG-E faßt die Ziele der Datensicherheit
übersichtlich zusammen, die bei jeder Form der Datenverarbeitung beachtet werden müssen.
Informationen zwischen Bürgern und Behörden werden künftig auch über das Internet ausgetauscht werden. Aus diesem Grund wird in § 11 Abs. 3 LDSG-E die Möglichkeit vorgesehen, die datenschutzrechtliche Einwilligung statt in der grundsätzlich vorgeschriebenen Schriftform nach Wunsch auch elektronisch abzugeben. Die Einzelheiten der Regelung lehnen sich an die Vorschriften des Multimediarechts an.
Auch in der öffentlichen Verwaltung werden immer häufiger Konzepte, die durch Schlagworte wie papierloses Büro
oder Workflow-Management beschrieben werden, in die Praxis umgesetzt. § 7 Abs. 5 LDSG-E sieht in den Fällen, in denen Daten ausschließlich automatisiert gespeichert werden, eine spezielle Protokollierung vor. § 17 Abs. 5 LDSG-E soll zudem sicherstellen, daß die einzelnen Abteilungen einer Organisation, die auf ein solches System zugreifen, ihre Pflichten und Verantwortlichkeiten klar fassen und gegeneinander abgrenzen.
In Zukunft werden voraussichtlich die Fälle zunehmen, in denen mehrere datenverarbeitende Stellen gemeinsam mit demselben Datenbestand arbeiten. Für diese Fälle werden in § 17 LDSG-E die Verantwortlichkeiten und Pflichten der beteiligten Stellen klar geregelt und abgegrenzt. Es sind besondere Protokollierungspflichten vorgesehen, um die Überprüfbarkeit der Verfahren sicherzustellen, § 7 Abs. 4 LDSG-E.
Die heutigen Chipkarten stellen miniaturisierte Hochleistungscomputer dar, bei deren Einsatz vor allem die Transparenz für die Betroffenen verlorenzugehen droht. § 18 LDSG-E schreibt deshalb vor, daß bei den Anwendungen im öffentlichen Bereich die Transparenz erhalten bleiben muß.
In die bestehende Regelung zur Videoüberwachung und Videoaufzeichnung ist nunmehr eingefügt, daß die Aufzeichnungen im Regelfall nach sieben Tagen gelöscht werden müssen, § 20 LDSG-E.
3. Reaktion auf die Modernisierungsbestrebungen in der Verwaltung
Schon nach der bestehenden Datenschutzverordnung ist die Freigabe
Voraussetzung dafür, daß ein automatisiertes Verfahren eingesetzt werden darf. Die Freigabe wird nun wegen ihrer überragenden Bedeutung für das Verwaltungsverfahren (Zurechenbarkeit von Verwaltungshandeln, Haftung für die Folgen der Datenverarbeitung), aber auch um ihre besondere Bedeutung für eine ordnungsgemäße und sichere Datenverarbeitung zu unterstreichen, im Gesetz selbst geregelt. Voraussetzung für die Freigabe ist nach § 5 Abs. 2 LDSG-E vor allem, daß ein klares Sicherheitskonzept für die geplante Datenverarbeitung vorliegt, daß das Verfahren rechtmäßig ist und daß es getestet wurde.
§ 3 Abs. 1 Nr. 2 LDSG-E weitet den Anwendungsbereich des Landesdatenschutzgesetzes auch auf solche Stellen aus, die zwar privatrechtlich organisiert sind, die jedoch im wesentlichen öffentlich-rechtlichen Stellen "gehören". Das LDSG soll anwendbar sein, wenn diese Organisationen Aufgaben der öffentlichen Verwaltung wahrnehmen. Damit soll verhindert werden, daß der Grundrechtsschutz der Bürgerinnen und Bürger absinkt, wenn öffentliche Aufgaben in einer privaten Rechtsform erbracht werden.
Die Verwaltung bedient sich im Rahmen des Outsourcing zunehmend externen Sachverstands, um ihre Aufgaben zu erfüllen. Beispiele dafür sind Wartung oder sonstige Betreuung von IT-Systemen. Außerdem werden für Teilaufgaben immer häufiger externe Sachverständige und Gutachter hinzugezogen. Hierfür fehlte bisher eine datenschutzgerechte Regelung. § 16 Abs. 4 und Abs. 5 LDSG-E erklären die Regelungen der Auftragsdatenverarbeitung für entsprechend anwendbar. Die externen Sachverständigen und Gutachter haben die Pflicht, nach Erfüllung ihrer Aufgabe die Daten zu löschen und/oder an die datenverarbeitende Stelle zurückzugeben.
Im Zuge der Verwaltungsmodernisierung kommen zunehmend "papierlose" Verfahren und Workflow-Konzepte zum Einsatz. § 7 Abs. 5 und § 17 Abs. 5 LDSG-E regeln, auf welche Weise die Revisionsfähigkeit
des Verwaltungshandelns sichergestellt werden muß.
§ 10 Abs. 5 LDSG-E schreibt vor, daß die Datenverarbeitung
von vornherein so zu organisieren ist, daß bei Datenübermittlungen oder Auskunftsersuchen der Betroffenen nicht umständliche und aufwendige Trennungsarbeiten vorgenommen werden müssen. Diese Regelung erlangt eine besondere Bedeutung, falls ein allgemeines Informationszugangsrecht eingeführt wird.
Die zunehmende Automatisierung der Datenverarbeitung im Rahmen der Verwaltungsmodernisierung führt zu immer mehr Einwirkungsmöglichkeiten der Systemadministratoren. § 7 Abs. 2 LDSG-E schreibt eine spezielle Protokollierung ihrer Aktivitäten vor.
Zunehmend werden auch bei öffentlichen Stellen in Schleswig-Holstein die neuen Formen der Telearbeit diskutiert. § 7 Abs. 3 LDSG-E soll im Interesse der Bürgerinnen und Bürger für diese Fälle einen Datensicherheitsstandard bewirken.
4. Grundsatz der Datenvermeidung und Datensparsamkeit
Datenvermeidung und Datensparsamkeit werden durch die Regelungen in § 4 LDSG-E für die Verwaltung verbindliche Ziele, vor allem bei der Auswahl von IT-Produkten. Durch die Verpflichtung zur Nachfrage nach entsprechenden Produkten soll für die Anbieter ein Anreiz zu ihrer Entwicklung gegeben werden.
Eine besondere Bedeutung für die Erreichung des Ziels der Datensparsamkeit hat die Anonymisierung, die in § 2 Abs. 4 LDSG-E neu definiert worden ist. Die im Vergleich zum geltenden LDSG flexiblere Definition führt dazu, daß die Anonymisierung früher erreicht wird und damit leichter im Dienste des Datenschutzes eingesetzt werden kann. § 22 Abs. 1 LDSG-E sieht z. B. vor, daß bei allen Planungen zur Verarbeitung personenbezogener Daten für wissenschaftliche Zwecke zunächst die Möglichkeit der Anonymisierung geprüft werden muß. Nur wenn dies nicht möglich ist, darf auf die in der Vorschrift aufgeführten Rechtsgrundlagen zurückgegriffen werden.
Die Pseudonymisierung ist in § 2 Abs. 5 LDSG-E gesetzlich definiert. Von der Anonymisierung unterscheidet sie sich dadurch, daß eine Zuordnungsfunktion existiert, mit der der Personenbezug wiederhergestellt werden kann. Hat eine Stelle keinen Zugriff auf diese Zuordnungsfunktion, so ist ihr die Verwendung der Daten ohne weiteres gestattet, § 10 Abs. 6 LDSG-E. In besonderem Maße kann die wissenschaftliche Datennutzung von der Pseudonymisierung profitieren, wie sich aus § 22 Abs. 2 und 3 LDSG-E ergibt.
5. Datenschutz durch Technik
Die Vorschriften über Datenschutz durch Technik sind in einem eigenen Abschnitt unter der Bezeichnung "Systemdatenschutz" zusammengefaßt und ihrer Bedeutung entsprechend nach den allgemeinen Vorschriften plaziert.
Die in § 5 LDSG-E erstmals in das Gesetz aufgenommene Freigabe automatisierter Verfahren darf nur erteilt werden, wenn in einem Sicherheitskonzept dargelegt ist, in welcher Weise die Datensicherheitsmaßnahmen umgesetzt werden sollen.
Für automatisierte Verfahren werden in § 7 LDSG-E einzelne Maßnahmen zur Datensicherheit verbindlich
vorgeschrieben
Die Grundsätze der Datenvermeidung und der Datensparsamkeit
sollen über das Erforderlichkeitsprinzip hinaus bereits bei der Auswahl und Gestaltung von Verfahren und Produkten zu einer Reduzierung der Risiken beitragen, vgl. § 4 LDSG-E.
Nach § 10 Abs. 5 Satz 1 LDSG-E ist die Datenverarbeitung
so zu organisieren, daß eine Selektierung der Daten nach der jeweiligen Erforderlichkeit ohne weiteres möglich ist. In dieser Beziehung haben moderne Datenbanksysteme entscheidende Vorteile gegenüber den üblichen Akten und Verwaltungsvorgängen.
Eine Schlüsseltechnik für den Datenschutz ist die Kryptographie. Aufgrund der generellen Unsicherheit bei der Übertragung von Daten im Internet muß sich der Bürger selbst durch Verschlüsselung schützen können. Aber auch bei dem Transport von Verwaltungsinformationen ist die Verschlüsselung ein probates Instrument für die Datensicherheit. Eine entsprechende Regelung findet sich in § 7 Abs. 3 LDSG-E. In § 2 Abs. 6 LDSG-E ist die Verschlüsselung erstmals in einem Datenschutzgesetz definiert.
6. Neue Instrumente des Datenschutzes
Nach § 34 Abs. 3 LDSG-E soll es den öffentlichen Stellen ermöglicht werden, ihr Datenschutz- und Datensicherheitskonzept durch den Landesbeauftragten für den Datenschutz vorab bewerten zu lassen. Nach einem positiven Ergebnis dieses Audit-Verfahrens
können die öffentlichen Stellen davon ausgehen, daß die automatisierte Verarbeitung von der Konzeption und der vorgesehenen Implementierung her unbedenklich ist.
§ 4 Satz 2 LDSG-E verpflichtet die öffentlichen Stellen, bei der Beschaffung solchen IT-Systemen
den Vorzug zu geben, "deren Vereinbarkeit mit den Vorschriften des Datenschutzes und den Regeln der Datensicherheit in einem förmlichen Verfahren festgestellt wurde". Die in einem solchen Verfahren künftig vergebenen Prädikate sollen Bestandteil der Beschaffungskriterien für die öffentlichen Stellen des Landes Schleswig-Holstein werden. Dies ist für die vielen kleineren Organisationseinheiten im kommunalen Bereich von besonderer Bedeutung.
§ 34 LDSG-E enthält eine Reihe von Beratungsaufgaben
für die oder den Landesbeauftragten für den Datenschutz. Verstärkt sind vor allem die Bürgerinnen und Bürger über Fragen des Datenschutzes und der Datensicherheit zu beraten. Die bereits jetzt durchgeführten umfangreichen Schulungs- und Fortbildungsveranstaltungen werden als Aufgabe in das Gesetz aufgenommen. Zugleich wird die Möglichkeit eröffnet, für einige dieser Aufgaben eine Refinanzierung über Gebühren zu ermöglichen.
7. Verschlankung und Entbürokratisierung
In § 2 LDSG-E wird der Begriff der Datenverarbeitung
nunmehr in einer besser verständlichen Weise definiert. Von den ursprünglichen acht Phasen der Datenverarbeitung finden sich in der neuen Definition nur noch die vier wichtigsten. Die Regelung wurde dadurch beträchtlich verschlankt.
Wegen der im öffentlichen Bereich ohnehin weitgehend spezialgesetzlich geregelten Geheimhaltungspflichten war das Datengeheimnis
nach § 6 LDSG alter Fassung verzichtbar.
Zur Entbürokratisierung und Dezentralisierung der Datenschutzkontrolle trägt es bei, wenn die öffentlichen Stellen von der Möglichkeit Gebrauch machen, einen internen Datenschutzbeauftragten
zu bestellen, § 9 LDSG-E. In diesem Fall sind sie nämlich nicht verpflichtet, die bei ihnen betriebenen automatisierten Verfahren an den Landesbeauftragten für den Datenschutz zu melden. In § 10 Abs. 2 LDSG-E ist nunmehr eine bereichsübergreifende Rechtsgrundlage für die Verarbeitung nicht besonders sensibler Daten enthalten. Dadurch entfällt künftig die Notwendigkeit, in derartigen Fällen mehr oder weniger gleichlautende Datenverarbeitungsbestimmungen in eine Vielzahl von Fachgesetzen, Verordnungen oder Satzungen aufzunehmen. Im Interesse der Konzentration auf das Wesentliche erleichtert § 10 Abs. 3 LDSG-E die Verarbeitung von Daten, die aus allgemein zugänglichen Quellen entnommen werden können.In § 13 Abs. 2 LDSG-E ist die Abgrenzung der Verantwortlichkeiten bei Datenübermittlungen zwischen öffentlichen Stellen sprachlich klarer gefaßt worden. Bisher durften automatisierte Übermittlungsverfahren, mit denen es einer Stelle möglich ist, die bei einer anderen Stelle gespeicherten Daten direkt abzurufen, nur auf der Grundlage einer eigens dafür erlassenen Rechtsverordnung eingerichtet werden. Nunmehr ist der Einsatz solcher Verfahren nach einer Prüfung der materiellen Voraussetzungen des § 17 LDSG-E ohne vorherigen Erlaß einer Rechtsverordnung zulässig. Die Bestimmung über das Fernmessen und Fernwirken wurde in § 21 LDSG-E deutlich verschlankt. Die Teile der Vorschrift, die sich bereits aus allgemeinen datenschutzrechtlichen Normen ergeben, wurden gestrichen.
Bei der Datenverarbeitung zu wissenschaftlichen Zwecken
kann künftig in vielen Fällen darauf verzichtet werden, die Genehmigung der Aufsichtsbehörde einzuholen, wenn die Daten anonymisiert oder pseudonymisiert worden sind, § 22 LDSG-E. Die Voraussetzungen dafür sind deutlich erleichtert worden. Die Vorschrift, mit der die Verarbeitung von Personaldaten für öffentlich Bedienstete geregelt wird, § 23 LDSG-E, wurde auf das Wesentliche reduziert. Die bisher im Zusammenhang mit der Datenerhebung geregelte Aufklärung bzw. Benachrichtigung der Betroffenen ist nun in § 26 LDSG-E im Abschnitt über die Rechte der Betroffenen am thematisch richtigen Regelungsort untergebracht und zusammengefaßt. Vereinfacht wurden auch die Vorschriften über die Auskunftsrechte der Betroffenen, § 27 LDSG-E. Eine deutliche Deregulierung stellt auch der Verzicht auf Strafvorschriften im LDSG dar. Diese waren schon bisher subsidiär zu anderen Strafnormen des Informationsrechts. Fälle, in denen Verurteilungen nach § 33 LDSG a.F. erfolgten, sind nicht bekanntgeworden. Aus diesen Gründen erschien es ausreichend, Verstöße gegen das Datenschutzrecht lediglich als Ordnungswidrigkeiten zu verfolgen.
Um unnötigen Gesetzgebungsaufwand in einer Reihe von Fachgesetzen infolge der Entbehrlichkeit des Dateibegriffs zu vermeiden, wurde in § 36 LDSG-E übergangsweise noch der Dateibegriff
aufgenommen.
8. Verbesserung des Schutzes des informationellen Selbstbestimmungsrechts
In § 1 LDSG-E wird deutlicher die grundrechtliche Fundierung der gesetzlichen Aufgaben des Datenschutzes zum Ausdruck gebracht.
Die Ausdehnung des Anwendungsbereiches des Gesetzes nach § 3 Abs. 1 Nr. 2 LDSG-E schützt die Bürgerinnen und Bürger künftig auch im Falle einer Aufgabenverlagerung auf privatrechtlich organisierte Stellen.
Die nach § 5 LDSG-E erforderliche Freigabe vor dem Beginn der automatisierten Datenverarbeitung sichert im Interesse der Bürgerinnen und Bürger die Einhaltung eines datenschutzgerechten Standards der Ordnungsmäßigkeit und Sicherheit. Entsprechendes gilt für die einzelnen, z.T. neu geschaffenen Maßnahmen der Datensicherheit, z. B. § 5 und § 7 Abs. 4 LDSG-E.
Die Arbeit behördlicher Datenschutzbeauftragter mit eigenen, gesetzlich geregelten Befugnissen führt zur effektiveren Wahrnehmung der Datenschutzaufgabe vor Ort und verbessert damit den Schutzstandard für die Betroffenen. Diese haben die Möglichkeit, sich direkt an den behördlichen Beauftragten zu wenden, § 9 Abs. 3 Satz 4 LDSG-E.
Das Konzept der dreigestuften Zulässigkeitsvoraussetzungen für die Datenverarbeitung nach § 10 LDSG-E behandelt die Daten entsprechend ihrer Sensibilität und Bedeutung und ermöglicht es, das Schutzniveau jeweils angemessen zu definieren. Daten, die weniger gefährdend sind, sind für die öffentlichen Stellen leichter verfügbar. Die sensiblen Daten dagegen sind stärker geschützt. Damit soll eine Konzentration auf das Wesentliche erreicht werden.
Der Schutz der Betroffenen bei der Übermittlung der Daten in Drittstaaten orientiert sich an der Richtlinie und sieht nach § 15 LDSG-E vor, daß die Datenübermittlung nur zulässig ist, wenn im Empfängerstaat ein angemessenes Datenschutzniveau existiert.
Die besonderen Verpflichtungen, die nach § 16 Abs. 5 LDSG-E bei der Datenübermittlung an externe Gutachter
und Sachverständige von den öffentlichen Stellen vertraglich fixiert werden müssen, führen zu einer verbesserten Sicherung der Daten der Bürgerinnen und Bürger bei Weitergabe ihrer Daten an diese privaten Stellen. Bei gemeinsamen Verfahren, bei denen mehrere Stellen mit demselben Datenbestand arbeiten, haben die Bürger künftig die Möglichkeit, ihre Rechte nach Wahl bei einer der beteiligten Stellen wahrzunehmen, § 17 Abs. 4 LDSG-E. Diese muß, wenn sie im Einzelfall nicht verantwortlich für die Speicherung ist, das Auskunftsersuchen an die zuständige Stelle weiterleiten. Erstmalig geregelt ist die Verarbeitung von personenbezogenen Daten auf Chipkarten und anderen mobilen Datenverarbeitungssystemen. Die Vorschrift des § 18 LDSG-E soll die Rechte der Betroffenen vor allem dadurch wahren, daß die Transparenz derartiger Verfahren sichergestellt wird.In Übereinstimmung mit der Richtlinie sind solche Verfahren grundsätzlich verboten, bei denen automatisiert und nach der Bewertung bestimmter Merkmale von Personen eine für diese nachteilige Entscheidung getroffen werden soll, § 19 LDSG-E. Die Speicherungsdauer bei Video-Aufzeichnungen wurde definiert und auf eine kurze Frist von sieben Tagen begrenzt, § 20 LDSG-E.
Die Datenverarbeitung zu wissenschaftlichen Zwecken ist unter erleichterten Voraussetzungen zulässig, wenn die Daten anonymisiert oder wenigstens pseudonymisiert sind, § 22 LDSG-E. Dies trägt zum Schutz der Betroffenen bei, da die forschenden Stellen den Informationsgehalt der Daten nicht einzelnen Personen zuordnen können. Bei der Auskunft an die Betroffenen stand es bisher im Ermessen der datenverarbeitenden Stelle, ob den Betroffenen anstelle der Auskunft Akteneinsicht gewährt wird. Nunmehr sollen die Betroffenen das Recht haben, nach ihrem Willen Auskunft oder Einsicht in die Speicherung zu erhalten, § 27 Abs. 2 LDSG-E. In Konstellationen, in denen die Gefährdung besonderer persönlicher Interessen die Datenverarbeitung im Einzelfall unzumutbar erscheinen läßt, können die Betroffenen nach § 29 LDSG-E Einwand gegen die Datenverarbeitung erheben.
Kommt es durch eine unzulässige oder unrichtige automatisierte Datenverarbeitung zu Schäden an Rechtsgütern des Betroffenen, so hatte dieser bisher die Schwierigkeit, die Ursächlichkeit der Fehler für den Schaden nachzuweisen, weil das Verfahren in der Sphäre der datenverarbeitenden Stelle betrieben wurde und für ihn nur schwer nachvollziehbar war. In Übereinstimmung mit der Richtlinie ändert § 30 Abs. 4 LDSG-E die Beweislastverteilung zugunsten des Bürgers. Nunmehr hat die datenverarbeitende Stelle sich zu entlasten, will sie dem Schadensersatzanspruch entgehen.
Auch die umfangreichen Beratungspflichten der oder des Landesbeauftragten für den Datenschutz gegenüber den Bürgerinnen und Bürgern verbessern deren Rechtsposition, insbesondere ihre Möglichkeit, sich selbst wirksam
gegen Datenmißbrauch zu schützen, § 34 LDSG-E. |
|
14.2 |
Vorschlag des Landesbeauftragten für den Datenschutz zur Novellierung des Landesdatenschutzgesetzes
|
Der vollständige Text des Gesetzentwurfes mit Gesetzesbegründung und weiteren Materialien ist als Landtagsdrucksache 14/1738 erschienen und kann beim
Landesbeauftragten für den Datenschutz
kostenlos angefordert werden. |