4.3 Justiz
4.3.1 Gesetz zur ambulanten Resozialisierung und zum Opferschutz (ResOG SH)
Im Berichtszeitraum hat der Schleswig-Holsteinische Landtag ein Gesetz zur ambulanten Resozialisierung und zum Opferschutz verabschiedet. Das Gesetz regelt die Organisation, die Praxis und auch die Datenverarbeitung der Ambulanten Sozialen Dienste der Justiz und weiterer Einrichtungen der Resozialisierung.
Wir haben zu dem Gesetzentwurf Stellung genommen und an einer Anhörung im Innen- und Rechtsausschuss des Landtags teilgenommen. Im Laufe des Gesetzgebungsverfahrens sind durch den Landtag einige Verbesserungen vorgenommen worden, mit denen unsere wesentlichen Kritikpunkte ausgeräumt wurden:
´ Im Gesetzentwurf waren weitreichende Befugnisse zur zweckändernden Übermittlung von Daten an Dritte durch Bewährungshelferinnen und Bewährungshelfer vorgesehen. Durch eine Änderung wurde nun klargestellt, dass die Übermittlungsbefugnisse nicht für Geheimnisträgerinnen und Geheimnisträger gelten.
´ Für den Schutz sogenannter besonderer Kategorien personenbezogener Daten, wie etwa Angaben zur Gesundheit, zur Religionszugehörigkeit oder zur rassischen und ethnischen Herkunft sind spezifische Anforderungen für technische und organisatorische Maßnahmen aufgenommen worden.
´ Eine missverständlich formulierte und daher zu weitreichende Regelung zur Datenübermittlung an private Dritte wurde gestrichen.
Ein grundlegender Kritikpunkt, der nicht nur für dieses, sondern für eine Vielzahl bereichsspezifischer Landesgesetze gilt, wurde im Gesetzgebungsverfahren leider nicht ausgeräumt: Die Terminologie in diesem und in anderen Fachgesetzen ist nicht an das neue Datenschutzrecht angepasst. Es werden vielfach noch die Begrifflichkeiten aus dem früheren LDSG verwendet, die mittlerweile im LDSG nicht mehr enthalten und somit nicht mehr legal definiert sind. Dies betrifft insbesondere den neuen Begriff der Verarbeitung nach der DSGVO und der JI-Richtlinie. An dessen Stelle werden im ResOG SH und in anderen neuen Fachgesetzen noch häufig die Begriffe „Erheben“, „Speichern“, „Nutzen“ und „Übermitteln“ verwendet. Hierdurch können Regelungslücken entstehen (siehe auch Tz. 1.4).
4.3.2 Meldungen über Datenpannen in der Justiz
Erwägungsgrund 75 der DSGVO
Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, [...] wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.
Vor zwei Jahren hatten wir darüber berichtet, dass aus dem Bereich der Justiz nur eine Meldung einer Verletzung des Schutzes personenbezogener Daten bei uns eingegangen war. Im Berichtszeitraum hat sich die Anzahl der Meldungen leicht erhöht; es sind insgesamt fünf Meldungen eingegangen. Im Vergleich zu den Meldungen, die aus anderen öffentlichen Stellen des Landes eingehen, ist die Zahl immer noch sehr gering. Die Meldungen kommen aus unterschiedlichen Gerichten und auch aus dem Bereich der Staatsanwaltschaften, sodass wir davon ausgehen, dass die Meldepflicht inzwischen in der Justiz dem Grunde nach bekannt ist. Ob tatsächlich jede Datenpanne erkannt, intern kommuniziert oder an uns als Aufsichtsbehörde gemeldet wird, bleibt angesichts der niedrigen Anzahl der Meldungen fraglich.
Aus diesem Grund weisen wir nochmals auf die Meldepflicht nach der DSGVO, nach der Strafprozessordnung und dem Bundesdatenschutzgesetz hin. Im Bereich der Justiz sind Verletzungen des Schutzes personenbezogener Daten häufig mit einem Risiko für die Rechte und Freiheiten der betroffenen Personen verbunden, da oftmals besondere Kategorien personenbezogener Daten verarbeitet werden, strafrechtliche Verurteilungen bekannt werden können oder die Daten geeignet sind, den Ruf der betroffenen Person zu schädigen, oder zu anderen Nachteilen führen können.
Der Europäische Datenschutzausschuss hat eine Leitlinie veröffentlicht, die Beispiele zu Datenpannenmeldungen enthält und Verantwortliche dabei unterstützt, das Risiko solcher Verletzungen zu bewerten (Tz. 11.2). Sie ist unter dem folgenden Link abrufbar:
https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_de [Extern]
Kurzlink: https://uldsh.de/tb40-4-3-2
Was ist zu tun?
Auch im Bereich der Justiz müssen die Verantwortlichen sicherstellen, dass die Beschäftigten für die Meldepflicht in Bezug auf Verletzungen des Schutzes personenbezogener Daten sensibilisiert sind, damit diese Vorfälle erkannt und korrekt an die Aufsichtsbehörde kommuniziert werden. Neben der Meldung ist wesentlich, geeignete Maßnahmen zu treffen, um etwaige negative Auswirkungen für die betroffenen Personen abzumildern. Zu prüfen ist auch, ob die betroffenen Personen zu benachrichtigen sind.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |