25. Tätigkeitsbericht (2003)
1 |
Situation des Datenschutzes in Schleswig-Holstein |
1.1 |
Datenschutz als Standortvorteil für Schleswig-Holstein
|
|
Es beginnt sich auszuzahlen, dass Schleswig-Holstein in Datenschutzfragen
seit Jahren einen abgewogenen und zugleich konsequenten Kurs fährt.
Die große Anfrage der SPD-Fraktion zur Datenschutzpolitik
in Schleswig-Holstein, die Antwort der Landesregierung (Drucksache
15/2287) und die nachfolgende Parlamentsdebatte zeigten, dass es
einen breiten Konsens quer durch alle Parteien gibt, was die grundlegenden
Datenschutzfragen angeht. Alle Redner betonten, dass die Bürgerinnen
und Bürger in Schleswig-Holstein sich auch in Zukunft darauf
verlassen können, dass der Datenschutz eine wichtige Staatsaufgabe
bleibt. Stammtischparolen über "zu viel Datenschutz”
hört man hier selten, stattdessen überwiegt die gemeinsame
Anstrengung, den Datenschutz im Interesse der Bürgerinnen und
Bürger kontinuierlich zu optimieren. Auch Schleswig-Holsteins
Haltung im Bundesrat ist zumeist geprägt von der Absicht, den
Grundrechtsschutz zu verbessern. Das im Jahre 2000 umfassend modernisierte Landesdatenschutzgesetz
(LDSG) erweist sich in der täglichen Praxis als vernünftiges
und wirksames Handlungsinstrument. Das Parlament war mit seinem
Ansatz, das Gesetz so weit wie möglich zu vereinfachen und
zu verschlanken und auf der anderen Seite klare Konturen zu zeigen,
wenn es um den Schutz der Bürgerinteressen geht, auf der Höhe
der Zeit. Dass die Datenverarbeitung in bestimmten Fällen nunmehr
direkt auf das LDSG gestützt werden kann, führt zunehmend
zur Entlastung der Fachgesetze von allgemeinen Erhebungs- und Übermittlungsregelungen,
ohne dass damit ein erkennbarer Nachteil für die Bürgerinnen
und Bürger verbunden wäre. Die Gründung des Unabhängigen Landeszentrums für
Datenschutz (ULD) in der Form einer Anstalt des öffentlichen
Rechts hat sich in den vergangenen zwei Jahren bewährt. Das
ULD kann seine Aufgaben in der von der Europäischen Datenschutzrichtlinie
verlangten Unabhängigkeit erfüllen. Die Anstaltsform erweist
sich als geradezu ideal für die sinnvolle Verknüpfung
der Verlässlichkeit und Korrektheit einer öffentlichen
Behörde mit der aus der Privatwirtschaft gewohnten Flexibilität
und Innovationskraft. Das ULD hat sich in den zwei Jahren seines
Bestehens einen guten Ruf erworben, der weit über Schleswig-Holstein
hinausreicht. Ein Beleg dafür ist die Vielzahl von Einladungen
zu Vorträgen aus dem Bundesgebiet und aus europäischen
Ländern, die gar nicht alle bewältigt werden können.
Die Mitarbeiterinnen und Mitarbeiter sind auch als Autoren gefragt,
wie ein Blick in die Datenschutz- und Datensicherheitsliteratur
deutlich werden lässt. Die neuen Instrumente Datenschutzaudit
und -gütesiegel sind so attraktiv, dass insbesondere überregional
tätige Firmen nachfragen, welche Möglichkeiten es gibt,
diese schleswig-holsteinischen Qualitätszeichen zu erlangen.
Wenn diese Firmen Aufträge deshalb nach Schleswig-Holstein
vergeben, weil sie nur so an ein Datenschutzaudit
kommen können, dann ist "Datenschutz als Standortvorteil”
offenbar mehr als ein Schlagwort. Auch das Informationsfreiheitsgesetz, das ein wesentlicher
Baustein der schleswig-holsteinischen Informationspolicy ist, hat
seine Bewährungsprobe bestanden. Was anderswo gelegentlich
von schrillen Tönen begleitet ist, hat sich in Schleswig-Holstein
ohne viel Getöse etabliert. Eine Untersuchung des ULD (vgl.
Tz. 13.1) zeigt, dass das Gesetz
rege in Anspruch genommen wird. Bürgerinnen und Bürger,
die dies tun, haben überwiegend Erfolg. Über 90 % aller
Informationsanträge werden - zumeist binnen weniger Tage -
positiv beschieden. Die Behörden, die das Gesetz keineswegs
überall mit Begeisterung aufgenommen hatten, haben sich erstaunlich
schnell mit den neuen Rechten der Bürger arrangiert. Die wenigen
Streitfälle, die es in Schleswig-Holstein gibt, resultieren
aus einer nur gelegentlich anzutreffenden engen, fast ängstlichen
Gesetzesinterpretation. |
|
1.2 |
Datenschutzaudit und Gütesiegel im Praxistest |
|
Im vergangenen Jahr wurden die ersten Audit-
und Gütesiegelverfahren erfolgreich abgeschlossen (vgl. Tz. 10.1,
Tz. 10.3). Ihre Zahl wird sich
in diesem Jahr beträchtlich erhöhen. Zunehmend erkennen
Firmen und Behörden, dass es ein Vorteil ist, bei ihren Kunden
mit einem überzeugenden, von unabhängiger Seite geprüften
Datenschutzkonzept zu werben. Die bisher durchgeführten Audits
haben gezeigt, dass es allen Beteiligten Spaß machen kann,
den Datenschutz einmal von einer ganz anderen Seite kennen zu lernen.
Zwar ist es für eine abschließende Analyse noch zu früh,
aber es ist aufgefallen, dass die Herangehensweise an das Thema
Datenschutz von vornherein eine andere ist, wenn, wie beim Audit,
Behörden von sich aus die Initiative ergreifen. Alle bisherigen
Audits haben zu datenschutzrechtlichen Verbesserungen geführt,
die eigener Einsicht entsprangen und nicht per Kontrolle und Kritik
durchgesetzt werden mussten. Das im Rahmen eines Audits zu entwickelnde
Datenschutzmanagementsystem gewährleistet, dass das erreichte
Datenschutzniveau auf Dauer gehalten wird. Dafür kann auch
die "Kontrolle” durch die Kunden sorgen, die aufgrund
eines zu Werbezwecken gezeigten Datenschutzauditzeichens vielleicht
ein besonderes Augenmerk darauf richten, ob der Datenschutz in der
jeweiligen Stelle tatsächlich so gut ist wie versprochen. |
|
1.3 |
Die Ergebnisse bei Kontrollen
|
|
Datenschutzrechtliche Kontrollen sind neben Beratung, Audit
und Gütesiegel
weiterhin notwendig. Im Berichtszeitraum wurden insgesamt 26 systematische
Kontrollen durchgeführt (vgl. Tz. 4.2.2,
Tz. 4.2.4, Tz. 4.3.1,
Tz. 4.8.8, Tz. 4.9.1,
Tz. 4.11.1, Tz. 6.2.1,
Tz. 7.4.1, Tz. 7.4.2,
Tz. 7.4.3, Tz. 7.4.4,
Tz. 7.6). Dabei wurden die Datenverarbeitungsprozesse
sowohl bei öffentlichen Stellen als auch in der Privatwirtschaft
analysiert. Kaum ein Prüfbericht kam ohne Beanstandung aus,
aber die Kontrollen zeigen auch tatsächlich Wirkung.
So ergab eine Nachschau in einer Justizvollzugsanstalt neun Jahre
nach der ersten Querschnittsprüfung in diesem Bereich, dass
tatsächlich einiges besser geworden ist (vgl. Tz. 4.3.1).
Auch die Schwerpunktkontrollen im Bereich der Entsorgung von Akten
und anderen Datenträgern im vergangenen Jahr (vgl. 24. TB,
Tz. 7.6) haben ihre Wirkung
nicht verfehlt. Bei einer systematischen Nachkontrolle in diesem
Jahr gab es kaum Grund zu Beanstandungen (vgl. Tz. 7.6).
Eine erstmals durchgeführte Kontrolle des Krebsregisters ergab,
dass dort sehr sorgsam mit den Daten der Krebspatienten umgegangen
wird (vgl. Tz. 7.4.3).
Im krassen Gegensatz dazu standen die Feststellungen im Krankenhaus
Itzehoe. Die Mängel waren in einigen Punkten so gravierend,
dass noch vor Beendigung der Prüfung "Eilbeanstandungen”
ausgesprochen werden mussten (vgl. Tz. 7.4.1).
Eine systematische Nachschau bei allen Handels- und Wirtschaftsauskunfteien
in Schleswig-Holstein ergab diverse Mängel, die beim Umgang
mit so sensiblen Daten nicht akzeptabel sind (vgl. Tz. 6.2.1). Der Umgang der Polizei mit genetischen Daten in
ihren Laboren ergab keinen Grund zur Beanstandung. Allerdings muss
die Dokumentation der Entscheidungen über die Erhebung und
Aufbewahrung genetischer Daten verbessert werden (vgl. Tz. 4.2.2).
Bei der Rasterfahndung zeigte sich, dass ihre technische
Durchführung bislang korrekt erfolgte. Im Gegensatz zum Innenministerium
sind wir aber der Meinung, dass die Rolle des BKA bei dieser Rasterfahndung
vom Gesetz nicht gedeckt ist und dass der Kreis der Personen, zu
denen Anschlussermittlungen durchgeführt wurden, zu groß
ist (vgl. Tz. 4.2.4). Eine Anlasskontrolle bei der Christian-Albrechts-Universität
(CAU) förderte erhebliche Sicherheitslücken beim Internet-Anschluss
und eine Reihe konzeptioneller Mängel des Datenschutzes in
der CAU zutage (vgl. Tz. 4.9.1). |
|
1.4 |
Die Ausstattung des Unabhängigen Landeszentrums für
Datenschutz
|
|
Das Unabhängige Landeszentrum für Datenschutz, das seine
Räume nunmehr mitten in der Kieler
Fußgängerzone hat, ist nicht nur dadurch näher
an die Bürgerinnen und Bürger herangerückt. Mit
mehreren Umfragen haben wir uns bemüht, die Meinung der Bürgerinnen
und Bürger zu aktuellen Datenschutzfragen in Erfahrung zu bringen
(vgl. Tz. 4.8.9, Tz. 6.1).
Die konsequente Orientierung unserer Arbeit an den Interessen unserer
"Kunden” trägt dazu bei, dass die Bürger unsere
Dienststelle als zentralen Anlaufpunkt für alle Fragen des
Informationsrechts betrachten. Allerdings ändern sich Struktur und Zielrichtung der Bürgereingaben in auffälliger Weise. Die Zahl der klassischen Petitionen, in denen sich Bürgerinnen und Bürger über datenschutzwidriges Verhalten einer speichernden Stelle beschweren, geht vor allem im Bereich der öffentlichen Verwaltung kontinuierlich zurück. Offenbar hat die jahrelange Kontroll-, Aufklärungs- und Überzeugungsarbeit ihre Wirkung nicht verfehlt. Die Behörden wollen sich in Datenschutzfragen möglichst keine Blöße mehr geben. Fälle, in denen das Datenschutzrecht der Bürger sehenden Auges missachtet wurde, kommen kaum noch vor. Dies werten wir als gutes Zeichen für das in Schleswig-Holstein erreichte Datenschutzniveau. Was bleibt, sind Streitfälle bei der Auslegung zweideutiger Gesetzesvorschriften oder Beschwerden über Nachlässigkeiten. Gleichwohl nimmt die Zahl der Eingaben seit Jahren überproportional zu. Immer mehr Menschen wollen von unseren Beratungsdienstleistungen profitieren. Auch außerhalb Schleswig-Holsteins wird es geschätzt, dass man sich bei uns kompetente Informationen und Ratschläge, z. B. zum Selbstdatenschutz, schnell und unbürokratisch holen kann. Täglich erreichen uns Dutzende von Anrufen und E-Mails, in denen die Bürger Hilfe und Orientierung im Informationsdschungel erbitten. Die Personalausstattung der Dienststelle kann diese Nachfrage
nach Datenschutz nur noch mit äußerster Mühe befriedigen.
Zwar ist die Zahl der Mitarbeiterinnen und Mitarbeiter in den letzten
Jahren immer wieder erhöht worden, aber mit der Entwicklung
und Verbreitung der Informationstechnik und der Komplexität
der sie steuernden Rechtsvorschriften konnte in keiner Weise Schritt
gehalten werden. Besonders drastisch ist die Unterbesetzung im Bereich
der privaten Wirtschaft, obwohl gerade dort die größten
Steigerungsraten hinsichtlich der Nachfragen von Betrieben und Kunden
zu verzeichnen sind. Als seinerzeit im Jahre 2000 die Aufgabe der
Datenschutzkontrolle in der Privatwirtschaft vom Innenministerium
auf das Unabhängige Landeszentrum für Datenschutz überging,
wurde lediglich die im Innenministerium vorhandene Personalausstattung
von zwei Mitarbeitern mit übertragen. Wegen der kurze Zeit
später im Zuge der Novellierung des BDSG im Jahre 2001 in Kraft
getretenen erheblichen Aufgabenerweiterungen bestand zwischen
dem Innenministerium und uns Übereinstimmung, dass eine auch
nur einigermaßen glaubwürdige Wahrnehmung der neuen Kontrollaufgaben
mindestens die Einrichtung von vier weiteren Stellen notwendig machen
würde. Obwohl diese Stellen im Rahmen der Haushaltsberatungen
mehrfach beantragt wurden, ist bis heute keine einzige bewilligt
worden. Bei allem Verständnis für die angespannte Haushaltssituation
im Lande müssen wir darauf hinweisen: Mit der gegenwärtigen
Personalausstattung im Bereich der Datenschutzaufsicht in der Privatwirtschaft
kann man den Bürgerinnen und Bürgern nicht mit ruhigem
Gewissen versichern, sie könnten sich auf die Kontrollen der
Datenschutzaufsicht verlassen. |
| Zurück zum Inhaltsverzeichnis | Zum nächsten Kapitel |
