4.3 Justiz
4.3.1 Änderung des Datenschutzrechts für den Justizvollzug
Justizvollzugsmodernisierungsgesetz vorgelegt. Darin ist auch eine umfangreiche Änderung des Justizvollzugsdatenschutzgesetzes vorgesehen. Hier soll die EU-Richtlinie 2016/680 zum Datenschutz in der Strafverfolgung umgesetzt werden.
Der Gesetzentwurf muss an einigen Stellen geändert werden, um mit der EU-Richtlinie in Einklang gebracht zu werden:
- Es müssen Begrifflichkeiten so gewählt bzw. definiert werden, dass sie dem europäischen Datenschutzrecht entsprechen. Dies betrifft die Definition der „Anonymisierung“ sowie die Begriffe der „Erhebung“, „Speicherung“ und „Nutzung“. Letztere müssen durch den europarechtlichen Begriff der „Verarbeitung“ ersetzt werden, um Regelungslücken zu vermeiden.
- Für die Verarbeitung besonderer Arten personenbezogener Daten fehlt es an den nach der EU-Richtlinie erforderlichen geeigneten Garantien zum Schutz der Rechte und Freiheiten der betroffenen Personen.
- Es fehlt eine Regelung zur Umsetzung der Vorgaben der EU-Richtlinie zum Datenschutz durch Technikgestaltung (Data Protection by Design).
- Dort, wo die EU-Richtlinie von „Risiken“ für die Rechte und Freiheiten betroffener Personen spricht, verwendet der Gesetzentwurf den Begriff „Gefahren“. Dies ist irreführend, da nach der EU-Richtlinie keine Gefahren im Sinne des deutschen Gefahrenabwehrrechts gemeint sind. Es sollte daher der Begriff der „Risiken“ verwendet werden.
- Bei der Protokollierung von Abfragen aus Datenbanken sollte entsprechend den Vorgaben der EU-Richtlinie auch der Abfragegrund protokolliert werden (siehe auch Tz. 4.2.3).
- Die Ausnahmen vom Auskunftsanspruch der betroffenen Personen sind zu weit gefasst.
- Eine europarechtlich bedenkliche Regelung enthält der Entwurf für die Einsicht in Gesundheitsakten. Die hier getroffene Regelung widerspricht zum Teil dem Auskunftsanspruch nach der DSGVO, der allerdings auf die hier geregelte medizinische Behandlung unmittelbar anwendbar sein dürfte.
Diese und weitere Punkte hatten wir bereits gegenüber dem Justizministerium im Rahmen seiner Beteiligung geäußert. Der Gesetzentwurf wurde in diesen Punkten leider weitgehend unverändert in den Landtag eingebracht. Im Gesetzgebungsverfahren haben wir schriftlich und in der mündlichen Anhörung erneut auf den Änderungsbedarf hingewiesen.
Unsere Stellungnahme ist hier abrufbar:
http://www.landtag.ltsh.de/infothek/wahl19/umdrucke/04700/umdruck-19-04779.pdf
Kurzlink: https://uldsh.de/tb39-4-31
Was ist zu tun?
Für eine europarechtskonforme Umsetzung der EU-Richtlinie muss der Gesetzentwurf zur Änderung des Justizvollzugsdatenschutzgesetzes geändert werden. Auch darüber hinaus besteht in einigen Punkten Verbesserungsbedarf.#
4.3.2 Erhebung von Besucherdaten in den Gerichten als Coronamaßnahme
Die Gerichte stehen wie viele andere öffentliche Einrichtungen vor der Herausforderung, ihren Betrieb auch in Zeiten der Coronapandemie aufrechtzuerhalten und gleichzeitig den Infektionsschutz für Besucherinnen und Besucher sowie für die Mitarbeitenden des Gerichts zu wahren. Nach anfänglichen Schwierigkeiten hat das Justizministerium in enger Abstimmung mit uns eine tragfähige Lösung entwickelt.
Nach der aktuellen Fassung der Corona-Bekämpfungsverordnung des Landes sind die Gerichte und Staatsanwaltschaften verpflichtet, von ihren Besucherinnen und Besuchern Kontaktdaten zu erheben. Damit ist im Infektionsfall die Möglichkeit einer Kontaktnachverfolgung durch die Gesundheitsämter gewährleistet.
Auf weiter gehende Datenerhebungen verzichtet die Justiz. Besucherinnen und Besucher erhalten rechtzeitig vor ihrem Termin Informationen über die Maßnahmen zum Coronaschutz. Darin werden sie aufgefordert, nicht zum Termin zu erscheinen, wenn sie Kontakt zu Infizierten hatten, sich in Quarantäne befinden oder bestimmte Krankheitssymptome haben. Ein früher verwendeter Fragebogen, in dem alle Besucherinnen und Besucher Angaben zu Krankheitssymptomen wie Fieber, Husten, Kopfschmerzen, Bindehautentzündung, Bauchschmerzen oder Gewichtsverlust machen mussten, wurde nach unserem Einschreiten verworfen. Gegen diesen Fragebogen haben wir zahlreiche Beschwerden, vor allem von Rechtsanwältinnen und Rechtsanwälten und von Behördenvertreterinnen und -vertretern, erhalten. Sie haben befürchtet, dass sie gezwungen werden, vorhandene Erkrankungen – etwa eine Pollenallergie – zu offenbaren, um ihre vorhandenen Symptome zu erklären und Einlass zum Gericht zu erhalten. Die im Fragebogen aufgeführten Symptome waren derart weit gefasst, dass sie nicht nur auf COVID-19-Erkrankungen hindeuteten, sondern praktisch mit jeder Erkrankung oder gesundheitlichen Beeinträchtigung einhergehen könnten. Bei wahrheitsgemäßer Beantwortung des Fragebogens hätten so zahlreiche nicht infizierte Besucherinnen und Besucher befürchten müssen, erst nach Erläuterung ihres Gesundheitszustands oder gar nicht Einlass zum Gerichtsgebäude zu erhalten. Angesichts der erheblichen Sensibilität der Daten und des jedenfalls für Rechtsanwälte berufsregelnden Charakters war diese Datenerhebung unverhältnismäßig.
4.3.3 Berichte über politisch relevante Strafverfahren
Im Berichtszeitraum erhielten wir Beschwerden zu den Berichten, die die Staatsanwaltschaft in einem Ermittlungsverfahren wegen des Verdachts des Verrats von Dienstgeheimnissen an das Justizministerium erstattet hat. Diese Berichte wurden nach der Anordnung über Berichtspflichten in Strafsachen (BeStra) erstattet. Danach ist dem Justizministerium über Strafverfahren zu berichten, wenn zu erwarten ist, dass das Verfahren weitere Kreise, insbesondere parlamentarische Gremien, beschäftigten wird. In diesem Fall gab das Justizministerium die Berichte an den Ministerpräsidenten weiter. Dies führte im April 2020 zum Rücktritt des Innenministers.
Bei unserer Prüfung konnten wir letztlich keine Verstöße gegen datenschutzrechtliche Vorschriften feststellen. Die Weitergabe von personenbezogenen Daten im Rahmen von BeStra-Berichten kann zulässig sein, wenn dies für die Zwecke der Fachaufsicht im Einzelfall erforderlich ist (siehe 35. TB, Tz. 4.3.8). Die Fallgruppen, in denen Informationen für die Wahrnehmung der Fachaufsicht erforderlich sind, sind in der BeStra konkretisiert. Dass deren Voraussetzungen hier grundsätzlich vorlagen, lag auf der Hand. Denn Gremien des Landtages hatten sich bereits mit der Angelegenheit befasst. Die Berichte bezogen sich auf die von der Staatsanwaltschaft durchgeführten Ermittlungen. Die Ermittlungen selbst haben wir nicht geprüft.
4.3.4 Ersatzzustellung durch Gerichtsvollzieher nur in verschlossenem Umschlag
Im Berichtszeitraum wandte sich ein Bürger an uns und beschwerte sich über einen Gerichtsvollzieher, der einen Pfändungs- und Überweisungsbeschluss an seinen Arbeitgeber zugestellt hatte. Da der Gerichtsvollzieher bei der Zustellung weder die Geschäftsführung noch Mitarbeitende der Personalabteilung angetroffen hatte, übergab er den Beschluss einem Mitarbeiter, der nicht mit der Angelegenheit befasst war. Insoweit ist das Handeln des Gerichtsvollziehers nicht zu beanstanden. Eine Ersatzzustellung ist im Fall der Abwesenheit der Unternehmensleitung an jede beim Unternehmen beschäftigte Person möglich.
Allerdings hatte der Gerichtsvollzieher es versäumt, den Beschluss in einem Umschlag zu verschließen. Dem Mitarbeiter, der nun den Beschluss erhalten hatte, war es daher möglich, den Beschluss vollständig zur Kenntnis zu nehmen. Hierin sah der Beschwerdeführer zu Recht eine Verletzung des Datenschutzes. Die Geschäftsanweisung für Gerichtsvollzieher schreibt ausdrücklich vor, dass der Gerichtsvollzieher das zu übergebende Schriftstück bei jeder Zustellung an einen Ersatzempfänger in einem Umschlag verschließen muss. Das Schriftstück ist danach so zu verschließen, dass es ohne Öffnung nicht eingesehen werden kann.
Wir haben aufgrund des Verstoßes gegenüber dem Gerichtsvollzieher eine Verwarnung ausgesprochen.
Was ist zu tun?
Die meisten Beschwerden über Gerichtsvollzieher betreffen die Zustellung von Schriftstücken. Hierbei kann vieles schiefgehen. Die Geschäftsanweisung für Gerichtsvollzieher (GVGA) regelt detailliert, was Gerichtsvollzieher zu beachten haben – nicht nur bei der Zustellung. Sie berücksichtigt auch den notwendigen Schutz personenbezogener Daten. Wer die Vorgaben der GVGA einhält, beachtet damit auch das Datenschutzrecht.
4.3.5 Beschwerden über justizielle Tätigkeiten gehen ins Leere
Auch im Berichtszeitraum haben uns wie jedes Jahr viele Beschwerden über justizielle Tätigkeiten der Gerichte erreicht. Bei den Beschwerden ging es z. B. darum, dass und in welchem Umfang Daten aus dem Gerichtsverfahren an Sachverständige für die Erstellung von Gutachten weitergegeben werden, welche Informationen das Gericht von den Parteien als Beweis für ihr Vorbringen in der jeweiligen Sache verlangt oder welche Informationen aus dem Gerichtsverfahren in der Begründung der Entscheidung genannt und so den Beteiligten des Verfahrens zur Kenntnis gegeben werden.
Erwägungsgrund 20 der DSGVO
Diese Verordnung gilt zwar u. a. für die Tätigkeiten der Gerichte und anderer Justizbehörden, doch könnte im Unionsrecht oder im Recht der Mitgliedstaaten festgelegt werden, wie die Verarbeitungsvorgänge und Verarbeitungsverfahren bei der Verarbeitung personenbezogener Daten durch Gerichte und andere Justizbehörden im Einzelnen auszusehen haben. Damit die Unabhängigkeit der Justiz bei der Ausübung ihrer gerichtlichen Aufgaben einschließlich ihrer Beschlussfassung unangetastet bleibt, sollten die Aufsichtsbehörden nicht für die Verarbeitung personenbezogener Daten durch Gerichte im Rahmen ihrer justiziellen Tätigkeit zuständig sein. Mit der Aufsicht über diese Datenverarbeitungsvorgänge sollten besondere Stellen im Justizsystem des Mitgliedstaats betraut werden können, die insbesondere die Einhaltung der Vorschriften dieser Verordnung sicherstellen, Richter und Staatsanwälte besser für ihre Pflichten aus dieser Verordnung sensibilisieren und Beschwerden in Bezug auf derartige Datenverarbeitungsvorgänge bearbeiten sollten.
Diese justiziellen Verarbeitungen sind unserer Kontrolle entzogen. Bereits der Grundsatz der Gewaltenteilung verbietet eine Kontrolle der rechtsprechenden Gewalt durch eine Exekutivbehörde.
Den Beschwerdeführerinnen und Beschwerdeführern ist dies im Grundsatz zwar regelmäßig vermittelbar. Mit großem Unverständnis reagieren sie hingegen, wenn wir auf ihre Nachfrage, an wen sie sich stattdessen wenden können, keine Antwort geben können. Ihnen ist bekannt, dass das Datenschutzrecht für sämtliche Verarbeitungen der Justiz gilt und somit ihre Rechte als betroffene Personen genauso gegenüber den Gerichten gelten. Dass aber ihr Beschwerderecht bei einer unabhängigen Stelle für justizielle Tätigkeiten der Gerichte ins Leere läuft, hinterlässt bei ihnen häufig den Eindruck, als müssten die Gerichte sich an die gesetzlichen Vorgaben nicht halten und als könnten die Betroffenen gegen etwaige Rechtsverletzungen nichts ausrichten.
Ein Blick in die Datenschutz-Grundverordnung zeigt, dass die Beschwerdeführer mit ihrem Rechtsempfinden nicht ganz falsch liegen. Zwar ist die Kontrolle justizieller Tätigkeiten durch die Aufsichtsbehörde ausdrücklich ausgenommen. Dies soll jedoch nicht bedeuten, dass eine unabhängige Kontrolle nicht stattfindet. Die DSGVO betrachtet in ihrem Erwägungsgrund 20 diese Konstellation und sieht justizeigene Stellen als Aufsicht für Datenverarbeitungsvorgänge im Rahmen justizieller Tätigkeiten vor.
In der Praxis nehmen sich häufig die Präsidentinnen und Präsidenten oder Direktorinnen und Direktoren der Gerichte solcher Beschwerden an, und oftmals kann hier auch eine für die Beschwerdeführerinnen und Beschwerdeführer akzeptable Lösung gefunden werden. Dies erfolgt im Wege der Dienstaufsicht. Die unabhängige Datenschutzaufsicht im Sinne des Erwägungsgrunds 20 der DSGVO ist den Leitungen der Gerichte hingegen nicht zugewiesen.
Dass ein Bedarf für solche unabhängigen Kontrollstellen besteht, zeigen nicht nur die Beschwerden, die uns erreichen. Auch konkrete Beratungsanfragen der Verantwortlichen im Bereich ihrer justiziellen Tätigkeiten konnten wir nicht beantworten. Denn auch Schulungen oder Beratungen sowie über den Einzelfall hinausgehende Kontrollen sind in diesem Bereich zurzeit nicht möglich: Weder wir als Datenschutzaufsichtsbehörde noch die Datenschutzbeauftragten der Gerichte haben nach der DSGVO Aufgaben und Befugnisse im Bereich der justiziellen Tätigkeit.
Das Beispiel der gesetzgebenden Gewalt zeigt seit vielen Jahren schon, dass eine Kontrolle innerhalb der eigenen Gewalt möglich ist. Hier hat sich das Datenschutzgremium als Kontrollstelle des Landtages bewährt (Tz. 3.1). Dieses Modell könnte auch für die Justiz ein Vorbild sein.
Was ist zu tun?
Für die Verarbeitung von personenbezogenen Daten bei der Ausübung justizieller Tätigkeiten durch die Gerichte sollte eine justizeigene unabhängige Kontrollstelle im Sinne des Erwägungsgrunds 20 der DSGVO eingerichtet werden.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |