1         Datenschutz in Schleswig-Holstein

Das letzte Jahr war für den Datenschutz in Schleswig-Holstein in vieler Hinsicht ein ruhiges Jahr. Abgesehen von der teilweise zweifellos kritikfähigen Novelle des Landesverfassungsschutzgesetzes (Tz. 4.2.6) gab es auf landespolitischer Ebene wenig Aufregung und wenige Konfliktpunkte. Für das Unabhängige Landeszentrum für Datenschutz (ULD) blieben auch größere innerorganisatorische Herausforderungen aus, da die Dienststelle schon in den Vorjahren ihre Standbeine gefestigt hat. Zu unseren Aufgaben gehört Folgendes: Kontrollen im öffentlichen wie im nicht öffentlichen Bereich, Bearbeitung von Petitionen, Beratung von Bürgerinnen und Bürgern sowie Daten verarbeitenden Stellen und Politik, Öffentlichkeitsarbeit – dies alles (in Bezug auf öffentliche Stellen) nicht nur zum Thema Datenschutz, sondern auch zur Informationsfreiheit (Tz. 12). Weitere Tätigkeiten sind: Aus- und Fortbildung (Tz. 13), Wissenstransfer in die Wirtschaft durch das ULD-i (Tz. 8.1), Erstellung von Gutachten, Durchführung von Projekten (Tz. 8) und – mit zunehmender Wichtigkeit – von Audit- und Gütesiegelverfahren (Tz. 9). Ein personeller Einschnitt war im Februar 2008 der Wechsel von Johann Bizer als stellvertretender Dienststellenleiter in den Vorstand von Dataport und seine Nachfolge durch eine Informatikerin aus dem eigenen Hause: Marit Hansen.

Die relativ ruhigen datenschutzpolitischen Rahmenbedingungen im Land waren für das ULD nötig, um angesichts der angespannten personellen Situation die von außen kommenden Bedürfnisse einigermaßen erfüllen zu können. Die Meldungen von gravierenden Datenschutzverstößen erschütterten die gesamte Republik, hatten in den meisten Fällen direkte Bezüge zu Schleswig-Holstein und forderten das ULD – oft über die Grenzen des Zumutbaren. Nur durch eine hohe Identifikation der Mitarbeiterinnen und Mitarbeiter mit ihrer Arbeit und deren ungewöhnlich starkes Engagement konnte – gepaart mit Improvisationsgeschick und im Ergebnis hoffentlich weitgehend erfolgreich – versucht werden, den Anforderungen, die auf das ULD durch Bürgerinnen und Bürger, Verwaltung und Wirtschaft, anderen Datenschutzeinrichtungen und Presse einstürmten, gerecht zu werden.

 

1.1         Bewegung aus dem hohen Norden

Die Anforderungen an das ULD wurden vorrangig von betroffenen Bürgerinnen und Bürgern sowie Daten verarbeitenden Stellen in Schleswig-Holstein gestellt. Die Zahl der Eingaben im Sozialbereich steigerten sich z. B. 2008 im Vergleich zum Vorjahr um ein Drittel, im Medizinbereich gar um 60 %. Die Anforderungen kamen aber oft auch von außerhalb des Landes, ohne dass sich das ULD dem hätte entziehen können. Denn die nationalen und internationalen Entwicklungen haben direkte Auswirkungen auf den Grundrechtsschutz der schleswig-holsteinischen Bevölkerung und auf die hier tätigen Institutionen: Viele nationalen Meldungen und Ereignisse zwangen das ULD zum Tätigwerden, etwa als von exzessiven Mitarbeiterbespitzelungen in einem Konzern zu lesen war, der auch im hohen Norden eine große Filiale betreibt, als die Änderung des dritten Abschnitts des Bundesdatenschutzgesetzes (BDSG) in Angriff genommen wurde, mit absehbar gravierenden Auswirkungen auf die heimische Wirtschaft, oder als wir von einem – in dem Ausmaß bisher nicht vorstellbaren – Missbrauch von Kontodaten und illegalen Datennutzungen für Werbezwecke erfuhren, wovon Zigtausende Frauen und Männer in Schleswig-Holstein betroffen sind.

Die in unserer Informationsgesellschaft praktizierte Form personenbezogener Datenverarbeitung kennt keine Landesgrenzen und immer weniger nationale Grenzen. Dies zwingt Datenschutzbehörden bundesweit, in Europa und in mancher Hinsicht sogar global zusammenzuarbeiten und zu versuchen, Entwicklungen auf nationaler und internationaler Ebene zu beeinflussen. Statt sich dabei treiben zu lassen, ist das ULD schon seit Jahren bestrebt, eine gestaltende Rolle zu spielen. Dies zahlt sich immer wieder aus. Nur zwei Beispiele: Durch unsere frühe Beschäftigung mit dem Thema Kredit-Scoring (28. TB, Tz. 8.8) war und ist es dem ULD jetzt einfach möglich, die Behandlung eines Bundesgesetzentwurfes zu diesem Thema qualifiziert zu begleiten. Die Einführung von Gütesiegel und Audit im Jahr 2000 erlaubt es dem Land Schleswig-Holstein, einen wesentlichen Beitrag für die Entwicklung auf Bundesebene und in anderen europäischen Ländern zu leisten.

Im Vordergrund steht immer die Arbeitsteilung. Keine Datenschutzbehörde kann in allen Bereichen die gleiche hohe rechtliche und technische Expertise bereithalten und einbringen. Die Kooperationen des ULD im Düsseldorfer Kreis (DK), dem bundesweiten Zusammenschluss der Aufsichtsbehörden im nicht öffentlichen Bereich, in der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSB-K) sowie in der Konferenz der Informationsfreiheitsbeauftragten (IFK) sind erfolgreich und weitgehend reibungsfrei. So war es möglich, über Stellungnahmen, z. B. gegenüber dem Bundesgesetzgeber, dem Bundesverfassungsgericht, einzelnen Branchen sowie Ländergrenzen überschreitend aktiven Daten verarbeitenden Stellen, über Veranstaltungen und Prüfaktionen gemeinsam wesentlichen Einfluss zugunsten von Datenschutz und Informationsfreiheit zu nehmen. Teilweise haben wir im ULD hierbei die Initiative und Führung übernommen, so z. B. über die Wahrnehmung der Vorsitze der Arbeitsgruppe Versicherungswirtschaft des DK und des Arbeitskreises Sicherheit der DSB-K. In den meisten Arbeitsbereichen überlassen wir die Leitung den Kolleginnen und Kollegen im Bund, in anderen Ländern oder auch – im internationalen Bereich – in anderen Staaten. Doch auch in diesen Bereichen bedarf es – um bestmögliche kollektive Ergebnisse zu erzielen – der aktiven und qualifizierten Beiträge aller Datenschutzbehörden, also auch des ULD.

Es lässt sich feststellen: Die arbeitsteilige föderale Organisation des Datenschutzes in Deutschland ist problem- und bürgernah, qualifiziert und effektiv. Sie wird derzeit noch ein wenig behindert durch die in vielen Bundesländern weiterhin bestehende organisatorische Spaltung von öffentlichem und nicht öffentlichem Bereich. Allein aus europarechtlichen Gründen und im Interesse der verfassungsrechtlich geforderten Unabhängigkeit der Datenschutzbehörden wurde diese Spaltung in vielen Bundesländern aufgehoben, so zuletzt in Rheinland-Pfalz. Auch die organisatorische Verbindung von Informationsfreiheit und Datenschutz erweist sich – trotz der sich scheinbar widerstreitenden Zielsetzungen – als äußerst nutzbringend: Es geht um die Optimierung dieser beiden Seiten der gesellschaftlichen und individuellen Selbstbestimmung im Interesse der Menschen und in organisatorischer Unabhängigkeit.

 

1.2         Datenschutzbeauftragte  beim Datenschutzbeauftragten

Auch für das ULD gelten das Landesdatenschutzgesetz (LDSG) und die Datenschutzverordnung (DSVO). Die Datenschutzdienststelle kann danach einen Datenschutzbeauftragten bestellen. Doch ist das in einer Behörde, deren Hauptaufgabe die Überwachung der Gesetze und Vorschriften über den Datenschutz darstellt, überhaupt notwendig? Nach den Erfahrungen der behördlichen Datenschutzbeauftragten des ULD lässt sich diese Frage eindeutig mit Ja beantworten, auch wenn sich die Arbeitsschwerpunkte von denen der Datenschutzbeauftragten anderer Behörden im Land unterscheiden.

Ein großer Vorteil bei deren Tätigkeit besteht in der hohen Sensibilisierung aller ULD-Mitarbeiterinnen und -Mitarbeiter in Bezug auf den Datenschutz. Weder bei der Leitung noch in den einzelnen Referaten muss Überzeugungsarbeit geleistet werden. Diesen Startvorteil haben andere Datenschutzbeauftragte im Land oft nicht. Häufig wird der Datenschutz – auch auf Leitungsebene – immer noch als lästige Pflichtübung angesehen.

Die Arbeit der ULD-Datenschutzbeauftragten ist eine Bereicherung für unseren „Datenschutzalltag“. Neben ihren gesetzlichen Standardaufgaben, wie z. B. das Führen des Verfahrensverzeichnisses, ist sie konsequent in alle datenschutzrelevanten Arbeitsprozesse eingebunden. Dies gilt z. B. für die interne technische Ausgestaltung der IT-Infrastruktur wie auch für Verfahren mit Außenbezug, etwa für die Verarbeitung der Kontendaten beim Adresshandelskandal (Tz. 6.5). Damit die Datenschutzbeauftragte nicht einfach „vergessen“ wird, wurden Arbeitsabläufe im ULD entsprechend angepasst, optimiert und standardisiert.

Die „datenschutzkonforme Dokumentation nach LDSG und DSVO“ ist die Aufgabe jeder Behörde. Sie erfordert eine behördeninterne Zusammenarbeit zwischen Datenschutzbeauftragtem, Administration, Referatsleitungen und Dienststellenleitung. Auch bei uns ergibt sich immer wieder Optimierungsbedarf. Die Verbesserungsmöglichkeiten aus eigenen Erfahrungen können dann einfließen in Handreichungen, Beratungen und Schulungen, z. B. die Praxisforen der DATENSCHUTZAKADEMIE, für alle Behörden im Land. So wurde die Dokumentation des ULD durch die Datenschutzbeauftragte und das Technikreferat an die überarbeitete, seit Anfang 2009 geltende Datenschutzverordnung (DSVO) angepasst (Tz. 6.2). Die Ergebnisse werden in einer geeigneten Form veröffentlicht.

Das ULD profitiert – ebenso wie jede andere Behörde – von seiner Datenschutzbeauftragten. Denn die oder der Datenschutzbeauftragte hinterfragt, berät, koordiniert, kontrolliert, ist manchmal unbequem, meistens aber konstruktiv und fordert Arbeiten ein, die ansonsten im Dienstgeschäft einfach untergehen. Ja, auch der Datenschutz braucht eine Datenschutzbeauftragte!

 

1.3         Unabhängiges Datenschutzzentrum Nord?

Der Koalitionsvertrag von CDU und Bündnis 90/Die Grünen von Hamburg enthält die Aussage, dass ein gemeinsamer Datenschutzbeauftragter von Hamburg und Schleswig-Holstein angestrebt werde. Daraus wird vorläufig nichts.

Die Kooperation der Freien und Hansestadt Hamburg und dem Land Schleswig-Holstein hat in einigen Bereichen schon dazu geführt, dass eine gemeinsame Einrichtung für bestimmte Verwaltungsaufgaben zuständig ist. Vor allem im Datenverarbeitungs- und Medienbereich wurden über Fusionen einheitliche Strukturen geschaffen: 2003 wurde ein Statistikamt Nord für beide Länder gegründet. 2004 ging Dataport als Zusammenschluss des Landesamtes für Informationstechnik Hamburg und der Datenzentrale Schleswig-Holstein an den Start. 2007 folgte die Medienanstalt Hamburg-Schleswig-Holstein.

So war es für das ULD nicht überraschend, als es 2004 vom Innenministerium Schleswig-Holstein über Gespräche mit Hamburg zu einer möglichen gemeinsamen Datenschutzbehörde informiert wurde. Vonseiten des ULD wurde hierzu Interesse und Offenheit signalisiert. Den Risiken, die mit einer Einrichtung an zwei Standorten verbunden sind, stehen Synergien bei der gemeinsamen Aufgabenerledigung gegenüber. Viele Formen der Datenverarbeitung erfolgen unbeeindruckt von Verwaltungsgrenzen. Die ersten Pläne verschwanden jedoch bald wieder in ministeriellen Schubladen.

Nach den Bürgerschaftswahlen in Hamburg im Februar 2008 vereinbarten die beiden Regierungspartner CDU und Bündnis 90/Die Grünen in ihrem Vertrag über die Zusammenarbeit, einen gemeinsamen Datenschutzbeauftragten mit Schleswig-Holstein anzustreben, der auch für die Informationsfreiheit zuständig sein solle. Diesen Bestrebungen widersetzte sich der damalige Hamburgische Datenschutzbeauftragte Wegen der nötigen Verantwortung gegenüber den jeweiligen Parlamenten sei eine gemeinsame Einrichtung verfassungsrechtlich bedenklich. Sie widerspräche der föderalen Struktur der Bundesrepublik. Außerdem käme als gemeinsamer Sitz nur Hamburg in Betracht. Diese schroffe Zurückweisung führte dazu, dass auch die Verantwortlichen in Schleswig-Holstein das erhitzte Eisen nicht anfassen wollten. Das Thema kühlte sang- und klanglos wieder ab.

Diese Entwicklung wurde vom ULD zur Kenntnis genommen. Zweifellos brächte eine derartige organisatorische Änderung einige Unruhe in beide Dienststellen. Doch nehmen die Überschneidungen der Tätigkeitsfelder immer mehr zu. Angesichts der massiven Dauerbelastung beider Stellen könnte durch eine Zusammenlegung mit der gemeinsamen Aufgabenerledigung wahrscheinlich eine gewisse Entlastung bewirkt werden. Letztlich kommt es bei der Fusion von solch sensiblen Organisationen auf zwei Bedingungen an: Es muss ein einheitliches hohes Niveau im Datenschutzrecht bestehen; eine Vereinheitlichung auf niedrigem Niveau wäre ein Bärendienst für den Grundrechtsschutz. Zudem müssen beide Behörden zur Zusammenarbeit auf Augenhöhe bereit sein. Die erste Voraussetzung wird mit dem Koalitionsvertrag Hamburgs ausdrücklich angestrebt. Die Kooperationsbereitschaft muss wohl durch eine engere Zusammenarbeit der beiden Organisationen noch gefördert werden. In vielen Bereichen gibt es schon einen guten Austausch und eine funktionierende Arbeitsteilung.

 

Was ist zu tun?
Die Fusion der Datenschutzbehörden ist vorläufig aufgeschoben, muss aber nicht aufgehoben sein. Zunächst steht eine Intensivierung der Zusammenarbeit an. Über eine rechtliche Fusion wird erst wieder in einigen Jahren gesprochen werden können.

 

Zum Inhaltsverzeichnis Zum nächsten Kapitel