Kernpunkte:
- Landesdatenschutzgesetz
- Mehr Transparenz im Land
1. Datenschutz und Informationsfreiheit in Schleswig-Holstein
Die Jahre 2011 und 2012 brachten eine Vielzahl von Veränderungen für den Datenschutz und die Informationsfreiheit in Schleswig-Holstein: Das Landesdatenschutzgesetz (LDSG) wurde zweimal novelliert. Das Informationsfreiheitsgesetz und das Umweltinformationsgesetz wurden in einem Informationszugangsgesetz (IZG-SH) zusammengefasst. Beim Einsatz von Informationstechnik in der Landesverwaltung erfolgt eine zunehmende Standardisierung und Vereinheitlichung und zugleich eine verstärkte Nutzung von Internettechnologie, was eine Anhebung des Datenschutzniveaus sowie eine verbesserte Bürgerorientierung durch Kommunikations- und Informationsangebote ermöglicht. Dieser technische wie normative Prozess ist nicht abgeschlossen und macht weitere politische und administrative Anstrengungen nötig. Durch die zunehmende Bereitschaft, auch der Verwaltung, Angebote insbesondere von US-amerikanischen Internetanbietern zu nutzen, eröffnen sich neue Risiken für den Datenschutz.
1.1 LDSG „die erste, die zweite …“
Aufgrund eines Urteils des Europäischen Gerichtshofes (EuGH) vom 9. März 2010 (Rs. C-518/07) zur Unabhängigkeit der Datenschutzaufsichtsbehörden musste das Landesdatenschutzgesetz (LDSG) bis Oktober 2011 geändert werden. Das Land Schleswig-Holstein setzte die Änderungen mit einem Gesetz vom 30. September 2011 um. Danach kann das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) als Anstalt des öffentlichen Rechts in keinem Bereich mehr Weisungen unterworfen werden und ist so in noch stärkerem Maße unabhängig.
Der EuGH stellte mit seinem Urteil fest, dass die deutsche Datenschutzaufsicht entgegen der EG-Datenschutzrichtlinie ihre Aufgaben nicht in völliger Unabhängigkeit wahrnahm. Sie unterlag in den einzelnen Bundesländern in unterschiedlicher Weise der Fach-, Rechts- und Dienstaufsicht, was einen Verstoß gegen die Richtlinie bedeutete. Der EuGH befürchtete, dass staatliche Aufsicht – gleich welcher Art – es ermögliche, auf Entscheidungen der Datenschutzaufsichtsbehörden mittelbar und unmittelbar Einfluss zu nehmen. Das ULD als Aufsichtsbehörde über nicht öffentliche Stellen unterliegt nunmehr weder der Rechtsaufsicht des Innenministeriums noch einer Fachaufsicht.
Durch die neu geschaffene Abwahlmöglichkeit der oder des Landesbeauftragten für Datenschutz mit qualifizierter Mehrheit, die nur bei besonders schwerwiegenden Gründen zur Anwendung kommen soll, wurde die Verantwortung des Parlaments gestärkt. § 36 Abs. 4 LDSG sieht die Möglichkeit des Landtags und seiner Ausschüsse vor, die Anwesenheit der oder des Landesbeauftragten für Datenschutz zu verlangen. Damit wird sichergestellt, dass das Parlament jederzeit Auskünfte zur Tätigkeit des ULD verlangen kann.
Diesen organisationsrechtlichen Änderungen folgte am 27. Januar 2012 eine zweite Novelle des LDSG mit wichtigen neuen materiell- sowie verfahrensrechtlichen Regeln. In erster Linie ging es darum, das LDSG an neue technische Gegebenheiten anzupassen. Das LDSG enthält in § 5 nun in Weiterentwicklung der bisherigen technisch-organisatorischen Maßnahmen moderne Datenschutz-Schutzziele: Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettbarkeit und Intervenierbarkeit. In § 7 LDSG werden alle datenverarbeitenden Stellen verpflichtet, Verfahrensverzeichnisse zu veröffentlichen. Haben datenverarbeitende Stellen keinen behördlichen Datenschutzbeauftragten nach § 10 LDSG bestellt, führt das ULD ein Verzeichnis der Meldungen. Diese Verfahrensverzeichnisse enthalten wesentliche Angaben zum Verfahren, zum Zweck und zur Rechtsgrundlage des Verfahrens sowie die geplanten Datenübermittlungen und die allgemeinen Beschreibungen der nach den §§ 5 und 6 LDSG zur Einhaltung der Datensicherheit getroffenen Maßnahmen. Das ULD veröffentlicht die Verfahrensverzeichnisse auf seiner Internetseite.
In § 8 LDSG wurde eine Regelung zu gemeinsamen Verfahren und Abrufverfahren aufgenommen. Erstmalig ist geregelt, dass die Verantwortung für die Gewährleistung der Ordnungsmäßigkeit des automatisierten Verfahrens von der Verantwortung für die gespeicherten Daten abgetrennt und auf eine zentrale Stelle übertragen werden kann. Die zentrale Stelle sowie Einzelheiten über Sicherheit und Ordnungsmäßigkeit der Datenverarbeitung werden durch Verordnung der für das Verfahren zuständigen obersten Landesbehörde bestimmt. Ein derartiges Verfahren wird in Schleswig-Holstein in der Personalverwaltung des Landes mit dem Personalverwaltungssystem KoPers eingerichtet werden (Tz. 4.1.6).
Die Regelungen zur Videoüberwachung in § 20 LDSG wurden den heutigen technischen Gegebenheiten angepasst.
Erstmalig wird nun im LDSG die Veröffentlichung von Daten im Internet geregelt. Gemäß § 21 LDSG ist eine Veröffentlichung personenbezogener Daten im Internet nur zulässig, wenn diese Form der Veröffentlichung durch eine Rechtsvorschrift erlaubt ist oder wenn die oder der Betroffene in diese Form der Veröffentlichung eingewilligt hat. In Bezug auf Mandatsträger- und Funktionsträgerdaten ist die Veröffentlichung zulässig, wenn keine überwiegenden schutzwürdigen Interessen entgegenstehen. Internetveröffentlichungen sind zu befristen und dürfen einen Zeitraum von fünf Jahren nicht überschreiten. Die öffentlichen Stellen werden verpflichtet, schon bei Einstellung personenbezogener Daten ins Internet Löschfristen zu setzen.
Innovativ ist § 27a LDSG, wonach datenverarbeitende Stellen eine Informationspflicht trifft, wenn bei ihnen gespeicherte personenbezogene Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Die datenverarbeitende Stelle hat dies unverzüglich den Betroffenen und dem Unabhängigen Landeszentrum für Datenschutz mitzuteilen – die sogenannte Breach Notification. Anwendungsgebiete für derartige Informationspflichten sind der Verlust von USB-Sticks, externen Festplatten, Laptops oder die unzulässige, wenn auch nicht beabsichtigte Veröffentlichung von personenbezogenen Daten im Internet.
Die Serviceaufgaben des ULD wurden erweitert. Eine Behörde kann jetzt auch ohne ein Behördenaudit ihre technisch-organisatorischen Verfahren durch das ULD prüfen lassen. Führt das ULD für Behörden des Landes Schleswig-Holstein Vorabprüfungen durch, so sind diese gebührenfähig (§ 43 Abs. 4 LDSG).
Einige weiter gehende Vorschläge, wie die verpflichtende Bestellung eines behördlichen Datenschutzbeauftragten für Behörden des Landes Schleswig-Holstein, fanden keine Berücksichtigung bei dieser Novellierung des LDSG. Immer noch fehlt eine gesetzlich geregelte einheitliche Zuständigkeit hinsichtlich der Durchführung von Bußgeldverfahren (siehe aber Tz. 3.2). Die neuen Regelungen zu gemeinsamen Verfahren haben bisher die Landesverwaltung im Blick. Tatsächlich besteht ein großer Bedarf auch auf kommunaler Ebene.
Was ist zu tun?
Mit den neuen Regelungen des LDSG hat Schleswig-Holstein ein fortschrittliches Datenschutzrecht. Die Erfahrungen zeigen, dass weitere Änderungen wünschenswert sind.
1.2 Informationszugangsgesetz Schleswig-Holstein – IZG-SH
Parallel zur Änderung des LDSG wurde in Schleswig-Holstein auch das Informationsfreiheitsrecht überarbeitet. In dem neuen Informationszugangsgesetz des Landes Schleswig-Holstein (IZG-SH) wurden die bisher getrennt geregelten Materien des Informationsfreiheitsgesetzes (IFG) und des Umweltinformationsgesetzes (UIG) zusammengeführt. Ein solches einheitliches Gesetz für den
Zugang zu behördlichen Informationen und Umweltinformationen ist bisher bundesweit einzigartig. Zielsetzung der Zusammenführung ist eine Vereinfachung und Vereinheitlichung der Verfahren und eine Vermeidung von Abgrenzungsproblemen bei Informationsgesuchen von Bürgerinnen und Bürgern gegenüber der Verwaltung. Das ULD ist nunmehr auch explizit zuständig für den
Zugang zu Umweltinformationen. Die Regelungen im neuen IZG-SH entsprechen im Wesentlichen den Regelungen im bisherigen UIG.
Der Landtag konnte sich beim Erlass des IZG-SH nicht dazu durchringen, generell proaktive Veröffentlichungspflichten vorzusehen, sodass diese weiterhin nur für Umweltinformationen gelten. Für sonstige Informationen in der öffentlichen Verwaltung hängt die Transparenz des Verwaltungshandelns von der sehr unterschiedlichen Praxis der jeweiligen Behörden ab.
1.3 Erwägungen zu einem Transparenzgesetz
Mit seinem neuen Transparenzgesetz bekennt sich die hamburgische Verwaltung zu proaktiver Informationspolitik im Sinne von Open Data. Dieses liefert Anregungen für Schleswig-Holstein.
Von allen in der Hamburgischen Bürgerschaft vertretenen Fraktionen wurde gemeinsam ein Entwurf eines Transparenzgesetzes für die Hansestadt eingebracht und verabschiedet. Das im Oktober 2012 in Kraft getretene Gesetz setzt neue Maßstäbe im Bereich der Informationsfreiheit. Zweck des Gesetzes ist es nicht nur, Informationen der Verwaltung auf Antrag bereitzustellen, sondern diese – im Sinne von Open Data – unmittelbar der Allgemeinheit von sich aus zugänglich zu machen und zu verbreiten, um die demokratische Meinungs- und Willensbildung zu fördern und die Kontrolle staatlichen Handelns zu verbessern.
Das ULD wurde von mehreren Seiten darauf angesprochen, inwieweit die Regelungen unseres südlichen Nachbarn in Schleswig-Holstein übernommen werden können. Das Ziel solle sein, all die Informationen bereitzustellen, die aus Gründen des Schutzes von öffentlichen oder privaten Interessen nicht vertraulich behandelt werden müssen. Ein öffentliches Interesse besteht insbesondere an der Bekanntgabe folgender Informationen: Aktivitäten und Entscheidungen der Regierung und der Ministerien, Richtlinien, Verwaltungsvorschriften, Verordnungen und Gesetze, Haushalts-, Organisations-, Geschäftsverteilungs- und Aktenpläne, Regelungen zur Daseinsvorsorge, Statistiken, Tätigkeitsberichte, Gutachten, Studien, Geodaten, Pläne, Karten und öffentliche Register, Angaben über öffentliche Unternehmen und öffentliche Verträge. Auch anonymisierte behördliche Einzelentscheidungen können für Bürgerinnen und Bürger von großem Interesse sein.
Ein Transparenzgesetz verspricht mehrere positive Effekte: Mehr Transparenz der Verwaltung kann das Vertrauen in die Verwaltung und damit die Akzeptanz in Entscheidungen und Aktivitäten erhöhen. Die Bürgerpartizipation wird erleichtert. Die Verwaltung wird von Einzelanfragen entlastet. Zugleich bewirkt die strukturierte Bereitstellung von Verwaltungsinformationen in einem über das Internet erschlossenen Informationsregister, dass die verwaltungsinternen Abläufe vereinfacht und Doppelarbeit vermieden wird.
Gegenüber den hamburgischen Regelungen müssen bei einem Transparenzgesetz in Schleswig-Holstein einige Besonderheiten beachtet werden: Die im IZG-SH erfolgte Zusammenführung von Umweltdaten und Daten der allgemeinen Verwaltung sollte nicht aufgegeben werden. Die Verwaltung in unserem Flächenland ist weitgehend kommunal organisiert. Es ist naheliegend, ein landesweites Informationsregister für die Kreise, Städte und Gemeinden zu öffnen. Aus Respekt vor der kommunalen Selbstverwaltung sollte der Landesgesetzgeber insofern den Kommunen aber keine Veröffentlichungspflichten auferlegen, sondern eher ein technisches Angebot unterbreiten, das diese gemäß dem politischen Willen und den Möglichkeiten vor Ort in Anspruch nehmen können.
Ein Informationsregister gibt es aber nicht zum Nulltarif. Es bedarf einer strukturierten technischen Plattform, auf der die Behörden ihre Informationen mit entsprechenden Schnittstellen bereitstellen können. Der Datenabruf über das Internet ist benutzungsfreundlich auszugestalten. Es bietet sich an, die bisherigen Internetangebote der öffentlichen Verwaltung auf einer Plattform zu bündeln, was eine landesweite Koordination bedingt.
Für Open Data kann in Schleswig-Holstein förderlich sein, dass hierzu derzeit in Bremen und Hamburg erste Erfahrungen gesammelt werden. Dem gemeinsamen Dienstleister Dataport kann dabei eine wichtige Funktion zukommen. Denkbar ist sogar, in Kooperation mit den Hansestädten diesbezüglich ein länderübergreifendes Angebot zu gestalten. Erste Gespräche hierüber unter Einbindung des Innenministeriums Schleswig-Holstein haben schon stattgefunden (Tz. 12.1).
1.4 Erwartungen des ULD an Landtag und Regierung
Anlässlich des Beginns der 18. Legislaturperiode des im Mai 2012 neu gewählten Landtags von Schleswig-Holstein hat das ULD seine Vorstellungen und Erwartungen an die Landespolitik formuliert.
Das Anfang 2012 in Kraft getretene neue LDSG sieht vor, dass das ULD nur noch alle zwei Jahre einen Tätigkeitsbericht erstellt. Das ULD nahm den Beginn der neuen Legislaturperiode zum Anlass, dem neu gewählten Landtag – als eine Art Ersatz – aktuelle Handlungsempfehlungen zu geben. Darin beschreibt das ULD in komprimierter Form die Geschichte und die Organisation von Datenschutz und Informationsfreiheit im Land und schildert den Stand auf Landes-, Bundes- und europäischer Ebene.
Auf dieser Grundlage macht das ULD eine Vielzahl von konkreten Vorschlägen zur Verbesserung von Datenschutz und Informationsfreiheit im Land in den Bereichen Allgemeine Verwaltung, Sicherheitsbehörden, Soziales und Gesundheit, Bildung und Wissenschaft, Finanzverwaltung sowie hinsichtlich des Einsatzes und der Nutzung sozialer Medien und lädt zum Dialog hierüber ein. Das ULD bringt zum Ausdruck, dass ein verstärktes Engagement des Landes in diesem Bereich auf Bundesebene, etwa über den Bundesrat, äußerst wünschenswert ist, zumal – anders als auf Landesebene – die nationalen politischen Bestrebungen und Projekte fast durchgängig unzureichend waren und weiterhin sind (Tz. 2).
Das ULD sieht einen Schwerpunkt der künftigen Politik in der Weiterentwicklung des E-Government, wobei hier die Vorgehensweise zwischen Bund, dem Land und den Kommunen koordiniert und abgestimmt werden sollte. Dem Land kommt insofern die zentrale Funktion zu, die Entwicklungen auf Bundesebene in die richtige Richtung zu lenken und zugleich die Kommunen einzubinden.
https://www.datenschutzzentrum.de/ldsh/20120611-Vorstellungen-und-Erwartungen-an-die-Politik.html
1.5 Öffentliche Stellen und das Betreiben einer Facebook-Fanpage
Die Veröffentlichung einer datenschutzrechtlichen Bewertung der Reichweitenanalyse von Facebook und die damit verbundene Aufforderung an Webseitenbetreiber in Schleswig-Holstein im August 2011, ihre Facebook-Fanpages und Social Plugins zu deaktivieren, war der Startschuss einer intensiven öffentlichen Auseinandersetzung über den Datenschutz bei Facebook (Tz. 2.2, 7.1).
Das ULD forderte die öffentlichen Stellen des Landes Schleswig-Holstein auf, ihre Fanpages bei Facebook und Social Plugins wie den „Gefällt mir“-Button von ihren Webseiten zu entfernen. Nach eingehender technischer und rechtlicher Analyse kommt das ULD zu dem Ergebnis, dass derartige Angebote gegen das Telemediengesetz und gegen das Bundesdatenschutzgesetz bzw. das Landesdatenschutzgesetz Schleswig-Holstein verstoßen. Bei der Nutzung der Facebook-Dienste erfolgt eine Datenweitergabe von Verkehrs- und Inhaltsdaten in die USA und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebotes, die sogenannte Reichweitenanalyse (Tz. 7.1.1).
Einige öffentliche Stellen des Landes Schleswig-Holstein haben daraufhin ihre Fanpages bei Facebook herausgenommen und Social Plugins von ihren Webseiten entfernt. Andere öffentliche Stellen haben ihr Angebot noch erweitert. Das ULD hat exemplarisch vier öffentliche Stellen ausgewählt und angeschrieben. U. a. weigerten sich die Staatskanzlei und die Industrie- und Handelskammer (IHK), ihre Fanpages aufzugeben. Deshalb musste das ULD Beanstandungen gegenüber den Fanpage betreibenden datenverarbeitenden Stellen aussprechen, was auch den zuständigen Aufsichtsbehörden mitgeteilt wurde. Keine der Aufsichtsbehörden, die teilweise selbst solche Seiten betreiben, wurden rechtsaufsichtlich tätig. Die daraufhin stattfindende Anrufung des Innen- und Rechtsausschusses des Landtags war ebenfalls erfolglos. Eine weiter gehende Handhabe gegenüber öffentlichen Stellen hat das Unabhängige Landeszentrum für Datenschutz bisher nicht.
Zum Inhaltsverzeichnis | Zum nächsten Kapitel |