Bei meinen Besuchen mußte ich häufig feststellen, daß
von Behördenmitarbeitern nicht erkannt wird, daß bei vielen
Fragestellungen, beispielsweise aus dem Bereich Melderecht oder
Personalaktenrecht, auch datenschutzrechtliche Aspekte zu berücksichtigen
sind. Um dieses Defizit auszugleichen, lag der Schwerpunkt meiner
Beratungstätigkeit in den Behörden in diesem ersten Jahr mehr
auf der Informationsvermittlung und Beratung als auf der Kontrolle.
Trotz der recht dünnen Personaldecke meiner Behörde bin ich
dem Wunsch nach Vorträgen zum Thema Datenschutz nachgekommen. Im
Rahmen einer in der Hansestadt Rostock laufenden Vortragsreihe "Der
Präsident der Bürgerschaft lädt ein" referierte ich
u.a. über "Aktuelle Themen des Datenschutzes in MV". Auf
Einladung des Fachbereiches Informatik der Universität Rostock haben
zwei Mitarbeiter meiner Behörde Vorträge zu allgemeinen Fragen
des Datenschutzes und zu technisch-organisatorischen Maßnahmen
gehalten. Auf Einladung der Gesellschaft für Datenschutz und
Datensicherheit (GDD) berichtete einer meiner Mitarbeiter über die
Informations- und Kontrolltätigkeit meiner Behörde. Des weiteren
führte ich ein Seminar im Rahmen der Fortbildung der
Nachwuchsjuristen des Innenministeriums des Landes zum Thema "Datenschutz
in der öffentlichen Verwaltung" in Güstrow durch.
Zur Verbreitung des Datenschutzgedankens wurde von mir ein
Informationsfaltblatt herausgegeben, in welchem ich in allgemeiner Form
die Aufgaben des Landesbeauftragten für den Datenschutz dargestellt
habe. Außerdem bringe ich in Abständen "Informationen zum
Datenschutz" heraus, welche sich jeweils mit aktuellen Themen beschäftigen.
Bisher sind Informationsblätter zu folgenden Themen erschienen: Großer
Lauschangriff, Datenschutz und Personalcomputer, Chipkarte,
Patientenakten, Datenschutz und Verfassungsschutz, Datenschutz und
Personen-Identifikation, Datenschutz und Telefax, Schutz persönlicher
Daten, Adreßbücher und Datenmißbrauch. Informationen zu
weiteren aktuellen Schwerpunkten sind in Arbeit.
Häufig erhielt ich Anfragen zu den Befugnissen und Aufgaben eines
internen Datenschutzbeauftragten. Deshalb habe ich bereits im
November 1992 im Amtsblatt (AmtsBl. MV 1992 S. 1523 ff) entsprechende
Hinweise veröffentlicht.
Aus den zahlreichen Kontakten mit den Ministerien habe ich festgestellt, wie wichtig der Erfahrungsaustausch der internen Datenschutzbeauftragten der obersten Landesbehörden mit meiner Behörde ist. Bei einer stattgefundenen ersten Beratung hat sich herausgestellt, daß doch in vielen Behörden gleiche oder ähnlich gelagerte datenschutzrechtliche Fragestellungen auftreten. Ich beabsichtige, die Beratungen in einem halbjährlichen Abstand durchzuführen. Darüber hinaus ist für 1994 eine ähnliche Veranstaltung für die internen Datenschutzbeauftragten der Kreise und kreisfreien Städte geplant.
Die Erfahrungen, die ich innerhalb dieses einen Jahres mit der Anwendung
des Landesdatenschutzgesetzes gemacht habe, sind überwiegend positiv.
Trotzdem sollen schon an dieser Stelle einige Vorschläge festgehalten
werden, die im Rahmen einer künftigen Novellierung Berücksichtigung
finden sollten.
Dateibeschreibung
Die Art und Weise der Verarbeitung personenbezogener Daten verändert
sich genau so schnell, wie sich die technischen Möglichkeiten
entwickeln. Immer komplexere DV-Systeme werden eingesetzt und schon
kleinste Einheiten, wie z.B. ein Einzelplatz-PC, werden so leistungsfähig,
daß große Datenbestände problemlos verwaltet werden können.
Das spiegelt sich natürlich in der Form der Datenhaltung für
einzelne Anwendungen wider.
Deshalb sind auch bei den öffentlichen Stellen immer häufiger
DV-Systeme anzutreffen, die in zahlreichen Tabellen einer einzigen
Datenbankanwendung die gemeinsame Datenbasis für mehrere
Fachanwendungen enthalten. Als Beispiel dafür sei ein
Personalinformationssystem genannt, bei dem Daten für die
Stellenverwaltung und Daten für die Besoldung und Vergütung
gemeinsam in einer Datenbank gehalten werden, Mitarbeiter verschiedener
Organisationseinheiten aber nur auf den für sie relevanten
Datenbestand zurückgreifen können. Zugriffsmöglichkeiten zu
dem Teil der Daten, der zur Erfüllung der jeweiligen Fachaufgabe benötigt
wird, werden durch Vergabe entsprechender Zugriffsrechte und
Bereitstellung einschränkender Menüsysteme geregelt. Es ist
nicht mehr ohne weiteres möglich, in Dateibeschreibungen der jetzigen
Form die o.g. Art und Weise der Datenhaltung eindeutig widerzuspiegeln. Es
sollte anstelle der Datei die jeweilige Fachaufgabe als Beschreibungsbasis
dienen. Für Kontroll- und Revisionszwecke ist natürlich dann ein
Hinweis auf den genauen Ablageort der Daten (Dateiname) zu geben. §
16 Abs. 1 Nr. 1 DSG MV wäre dementsprechend neu zu formulieren.
Technikfolgen - Abschätzung
Die Informationstechnik führt wie kaum eine andere technische
Entwicklung zu tiefgreifenden Veränderungen in allen Lebensbereichen.
Diese Tatsache erfordert eine kritische Auseinandersetzung mit den Folgen
des Einsatzes von Informations- und Kommunikationstechnik. Dabei müssen
so unterschiedliche Aspekte wie Lebensqualität, Umweltökonomie,
Wirtschaftlichkeit, Sicherheit und Datenschutz berücksichtigt werden,
um das informationelle Selbstbestimmungsrecht überhaupt wahrnehmen zu
können.
In § 29 Abs. 5 DSG MV wird die Beobachtung der Auswirkungen von
Informations- und Kommunikationstechnik auf die Arbeitsweise der öffentlichen
Stellen als eine der Aufgaben des Landesbeauftragten für den
Datenschutz dargestellt. Von der Verantwortung der öffentlichen
Stellen, vor dem Einsatz neuer oder der wesentlichen Veränderung
schon vorhandener automatisierter Verfahren zu prüfen, mit welchen
Gefahren für die Rechte der Betroffenen die Nutzung dieser Verfahren
verbunden sind, ist hier nicht die Rede. Lediglich der IT-Strukturrahmen für
die Landesverwaltung von Mecklenburg-Vorpommern empfiehlt die Durchführung
einer Risikoanalyse als Teil der Gefährdungsanalyse, um neben den möglichen
materiellen auch zu erwartende immaterielle Schäden aufzeigen zu können.
Ich empfehle daher, entsprechend der schon in Niedersachsen (Niedersächsisches
Datenschutzgesetz - NDSG) und Berlin (Informationsverarbeitungsgesetz -
IVG) existierenden Vorschriften auch im DSG MV eine Technikfolgen-Abschätzung
verpflichtend für den Anwender einzuführen. Die Verpflichtung
zur Technikfolgen - Abschätzung im DSG MV kann ein erster Schritt
dahin sein, Bürgerinnen und Bürgern eine bessere Transparenz und
umfangreichere Gestaltungsrechte in der sich rasant entwickelnden
Informationsgesellschaft zu bieten.
Der behördliche Datenschutzbeauftragte
In unserem Datenschutzgesetz ist bisher der interne behördliche
Datenschutzbeauftragte nicht obligatorisch. Das ist jedoch bereits in
vielen neueren Datenschutzgesetzen anderer Bundesländer der Fall.
Bisher konnte ich lediglich empfehlen, daß öffentliche Stellen,
welche personenbezogene Daten automatisiert verarbeiten, ab einer Zahl von
fünf Bediensteten einen behördlichen Datenschutzbeauftragten
bestellen sollten. Ich halte die obligatorische Einführung auf
Gesetzesebene jedoch für notwendig, da nur dadurch der Bedeutung,
aber auch der Komplexität datenschutzrechtlicher Erfordernisse
Rechnung getragen wird.
Durch meine Besuche bei den Behörden kann ich zwar auf Mängel
beim Umgang mit Daten hinweisen, die kontinuierliche Einhaltung und
Verbesserung des Datenschutzes kann jedoch nur der interne
Datenschutzbeauftragte vor Ort gewährleisten. Nur dieser kann sich ständig
und umfassend auch mit kleineren Mißständen befassen.
Aus den vorgenannten Gründen würde ich folgende Formulierung vorschlagen:
"Öffentliche Stellen, die personenbezogene Daten automatisiert
verarbeiten und hierbei in der Regel mindestens 5 Bedienstete ständig
beschäftigen, haben einen Beauftragten für den Datenschutz zu
bestellen. Beauftragte müssen die erforderliche Sachkenntnis und
Zuverlässigkeit besitzen. Sie unterstützen die öffentliche
Stelle bei der Sicherstellung des Datenschutzes."
Übermittlung an Stellen innerhalb/außerhalb des öffentlichen Bereiches
Die in § 12 Abs. 1 DSG MV getroffene Formulierung: "Die Übermittlung personenbezogener Daten an Stellen innerhalb des öffentlichen Bereichs ist über § 10 hinaus zulässig, wenn ..." hat in der Vergangenheit zu Mißverständnissen und deswegen zu Nachfragen geführt, da § 10 die Verarbeitung, nicht jedoch die Übermittlung regelt. Ich schlage daher folgenden Gesetzeswortlaut vor: "Die Übermittlung personenbezogener Daten an Stellen innerhalb des öffentlichen Bereichs ist über die in § 10 für die Verarbeitung genannten Voraussetzungen hinaus zulässig, wenn ...".
Des weiteren sollte in § 12 DSG MV (Datenübermittlung an Stellen innerhalb des öffentlichen Bereiches) zusätzlich klargestellt werden, daß die in den Absätzen 1 und 2 aufgestellten Voraussetzungen für Datenübermittlungen auch innerhalb der Behörde zu gelten haben. Diese Regelung ist erforderlich, da das Gesetz von dem organisatorischen und nicht von dem funktionalen Behördenbegriff ausgeht. Für die Auswirkungen auf das Recht des Betroffenen, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen, ist es unerheblich, ob die Daten an eine andere öffentliche Stelle oder innerhalb der öffentlichen Stelle weitergegeben werden.
Gem. § 13 DSG MV (Übermittlungen an Stellen außerhalb des öffentlichen Bereiches) wird es als ausreichend angesehen, wenn der Empfänger ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und der Betroffene kein schutzwürdiges Interesse an dem Ausschluß der Übermittlung hat. In diesem Fall unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung.
Die vorliegende Übermittlungsregelung ist im Vergleich zu den
Regelungen in anderen Landesdatenschutzgesetzen relativ weitgehend. Um dem
Recht auf informationelle Selbstbestimmung ausreichend Rechnung zu tragen,
sollte im Gesetzestext zusätzlich formuliert werden, daß der
von der Datenübermittlung Betroffene nicht lediglich unterrichtet,
sondern zusätzlich auf die Möglichkeit des Widerspruchs
aufmerksam gemacht wird.
Es wäre weiterhin klarzustellen, daß der Grundsatz der
Zweckbindung auch im Verhältnis zu den privaten Datenempfängern
in der Weise abgesichert wird, daß eine spezielle Absprache zwischen
übermittelnder Stelle und dem Empfänger zu erfolgen hat.
Zum Schluß danke ich meinen Mitarbeiterinnen und Mitarbeitern für die geleistete Arbeit und ihren engagierten Einsatz.
Für die Zukunft erwarte ich, daß sich ein Teil der operativen Einsätze, wie beispielsweise die vielen anlaßbezogenen Kontrollen und Beratungen, zugunsten geplanter Einsätze verschieben wird. Bereits abgezeichnet hat sich, daß die entwicklungsbegleitende Beratung im Datenschutz an Bedeutung gewinnen wird. Es wäre wohl auch kaum zu vertreten, wenn gute technische Lösungen oder technologische Entwicklungen allein daran scheitern sollten, daß man die Belange des Datenschutzes nicht rechtzeitig berücksichtigt hat. Aber auch künftig werden die konkreten Sorgen des einzelnen Bürgers an erster Stelle bei der Erledigung meiner Aufgaben stehen.
Alle Aspekte des Datenschutzes konnte der vorliegende Bericht freilich
nicht berücksichtigen - so zum Beispiel die zur Zeit in Gang
befindliche Entwicklung eines einheitlichen europäischen
Datenschutzes. Aber jeder hat die Möglichkeit, sich bei mir über
dieses und weitere andere Themen zu informieren. Darüber hinaus werde
ich im kommenden Berichtszeitraum wieder eine Reihe themengebundener
Datenschutzblätter herausgeben.
Schwerin, 05.01.1994
Dr. Werner Kessel