Aufgrund steigender Beratungsersuchen öffentlicher Stellen habe ich meine Kontrollen in zunehmendem Maße auf anlaßbezogene Sachverhalte reduzieren müssen. Die Zahl der Routinekontrollen ist dadurch zurückgegangen. Während im ersten Berichtszeitraum vor allem datenschutzrechtliche Fragen grundsätzlicher Art im Mittelpunkt standen, wurden nunmehr einzelne Fachbereiche der öffentlichen Verwaltung im Hinblick auf die konkrete Aufgabenerfüllung kontrolliert.
Ich begrüße es, daß die öffentlichen Stellen des
Landes meine Dienststelle zunehmend einbeziehen, um datenschutzrechtliche
Erfordernisse bei der Einführung neuer Verfahren bereits im
Planungsstadium zu berücksichtigen. So werden Verstöße
gegen datenschutzrechtliche Bestimmungen vermieden und Kosten reduziert,
denn die Umsetzung der Anforderungen in laufenden Verfahren wird in der
Regel kostenintensiver.
Meine Mitarbeiter und ich haben Vorträge zu unterschiedlichen Themen des Datenschutzes gehalten. Aus personellen Gründen konnten leider nicht alle Vortragswünsche erfüllt werden. Die Vorträge wurden im Rahmen von Seminaren, Schulungen, Work-shops, Vorlesungen, Informationsveranstaltungen und Treffen zum Erfahrungsaustausch auf verschiedenen Ebenen gehalten. Themen waren beispielsweise:
Grundsätze des Datenschutzes in der Landesverwaltung
Stellung und Aufgaben des behördlichen Datenschutzbeauftragten
Technische und organisatorische Aspekte des Datenschutzes
Datenschutzrechtliche Anforderungen an die Datenverarbeitung im Auftrag
Probleme des Datenschutzes bei Systemen zur automatischen Gebührenerhebung auf Autobahnen
Datenschutz beim Einsatz digitaler Telekommunikationsanlagen
Datenschutz im Krankenhaus
Datenschutz in der Kinder- und Jugendhilfe
Umgang mit Personalakten
Datenschutz und Umweltschutz
Zukunftsaspekte des Datenschutzes
Das Interesse der Bürger unseres Landes an Informationen zum
Datenschutz hat weiter zugenommen. In den letzten zwei Jahren habe ich
zehn neue Informationsblätter herausgegeben, die einen Überblick
über grundsätzliche sowie aktuelle datenschutzrechtliche Themen
geben sollen. Sie erheben nicht den Anspruch, umfassend oder auf konkrete
Fragestellungen im Einzelfall Antworten zu geben, sondern dienen dem Verständnis
des Datenschutzrechts in seiner praktischen Anwendung an Beispielen. Neben
vielen Einzelpersonen haben auch öffentliche Stellen und Unternehmen
diese Informationen angefordert. Neu sind im Berichtszeitraum erschienen:
Autobahngebühren im Blickfeld, Das ISDN-Netz, Freiwillige
Patienten-Chipkarten, Datenschutz in der Schule, Umgang mit Sozialdaten,
Personenbezogene Daten in der Forschung, Technikfolgenabschätzung,
Sicherheit der Informationstechnik, Personalakten und Personalaktendaten
sowie Statistische Erhebungen.
3.4 Beratungen mit den behördlichen Datenschutzbeauftragten
Beratungen mit den Datenschutzbeauftragten der obersten Landesbehörden fanden in den vergangenen zwei Jahren regelmäßig statt. Dabei hat sich jedoch gezeigt, daß in den verschiedenen Ressorts sehr unterschiedliche datenschutzrechtliche Fragestellungen von Interesse sind. Zur Lösung dieser Einzelprobleme sind gemeinsame Beratungen in der bisher geführten Form nicht besonders geeignet. Ich habe deshalb vorgeschlagen, den Erfahrungsaustausch mit den obersten Landesbehörden in Zukunft erst dann fortzuführen, wenn genügend Themen zur Beratung vorliegen, die alle Ressorts betreffen.
Im Mai 1995 habe ich erstmals die behördlichen Datenschutzbeauftragten der Landkreise und kreisfreien Städte zu einem Erfahrungsaustausch eingeladen. Im Mittelpunkt dieses Gesprächs standen vor allem datenschutzrechtliche Fragen grundsätzlicher Art, wie das Berufsbild, die Qualifikation und die Aufgaben eines behördlichen Datenschutzbeauftragten, die Realisierung von technischen und organisatorischen Maßnahmen sowie Datenübermittlungen innerhalb von Behörden. Darüber hinaus trugen die Teilnehmer Fälle aus der Praxis vor, die von den Anwesenden erörtert wurden. Im Bedarfsfall kann die nächste gemeinsame Beratung in der ersten Hälfte des Jahres 1996 von mir durchgeführt werden.
Schon in meinem Ersten Tätigkeitsbericht hatte ich einige Vorschläge zur Änderung des Landesdatenschutzgesetzes von Mecklenburg-Vorpommern gemacht. Die Erfahrungen der vergangenen zwei Jahre haben gezeigt, daß unser Landesdatenschutzgesetz verbesserungsbedürftig ist.
Erweiterung des Anwendungsbereichs bei Gerichten und Staatsanwaltschaften
Das Landesdatenschutzgesetz gilt nach der gegenwärtigen Rechtslage für die Staatsanwaltschaften und Gerichte nur, soweit sie Verwaltungsaufgaben ausführen. In ihrer Eigenschaft als Rechtsprechungsorgane unterliegen die Gerichte jedoch dem Bundesdatenschutzgesetz. Um eine einheitliche Regelung aller datenschutzrelevanten Vorgänge bei den Gerichten und Staatsanwaltschaften zu ermöglichen, sollte das Landesdatenschutzgesetz generell für alle Organe der Rechtspflege gelten, unabhängig davon, welche Tätigkeiten sie ausführen. Als notwendige Folge dieser Ausdehnung muß wegen der grundgesetzlich garantierten richterlichen Unabhängigkeit die Kontrolle des Landesbeauftragten für den Datenschutz bei Gerichten jedoch weiterhin auf deren Tätigkeiten in Verwaltungsangelegenheiten beschränkt bleiben. Um bei der datenschutzrechtlichen Kontrolle der von den Gerichten eingesetzten automatischen Datenverarbeitungssysteme die Abgrenzungsschwierigkeiten zu vermeiden - in Punkt 2.17.4 wird dieses Problem an einem konkreten Beispiel deutlich -, sollte in § 26 - Kontrolle - folgender Satz eingefügt werden: "Setzen Gerichte zur Erfüllung ihrer gesetzlichen Aufgaben automatische Datenverarbeitungsanlagen ein, so unterliegt unbeschadet der richterlichen Unabhängigkeit die Ordnungs- und Rechtmäßigkeit der Verfahren der Kontrolle des Landesbeauftragten für den Datenschutz."
Vorrang des Datenschutzgesetzes vor dem Verwaltungsverfahrensgesetz
Es sollte eine Vorschrift aufgenommen werden, wonach das Landesdatenschutzgesetz dem Landesverwaltungsverfahrensgesetz vorgeht, soweit bei der Ermittlung eines Sachverhalts personenbezogene Daten verarbeitet werden. Dies wäre eine Ausnahme von dem Grundsatz der Nachrangigkeit des Landesdatenschutzgesetzes gegenüber anderen anzuwendenden Rechtsvorschriften. Sie ist in diesem Fall jedoch angebracht, da das Landesverwaltungsverfahrensgesetz selbst ein Auffanggesetz darstellt und das Landesdatenschutzgesetz bezüglich des Umgangs mit personenbezogenen Daten sachgemäßere Regelungen enthält.
Zweckbindung der sogenannten Protokolldateien
Zur Datenschutzkontrolle, zur Datensicherung und zum Erreichen einer fehlerfreien automatischen Datenverarbeitung sind verschiedene Protokollierungen erforderlich. Sowohl Veränderungen an Hard- und Softwarekomponenten als auch die Verarbeitung personenbezogener Daten sind zu protokollieren, damit jederzeit nachvollzogen werden kann, wer wann mit welchen Mitteln Daten verändert hat. Da Protokolle eine Vielzahl personenbezogener Daten enthalten, ist dem Mißbrauch vorzubeugen. Deshalb sollte eine Vorschrift aufgenommen werden, die die Nutzung der Protokolldaten für andere Zwecke ausdrücklich verbietet (siehe auch Punkt 2.16.3).
Pflicht zur Führung eines Aktenverzeichnisses
Es sollte eine Vorschrift eingefügt werden, die die öffentlichen Stellen und ihre Auftragnehmer verpflichtet, ein Verzeichnis derjenigen Akten zu führen, in denen personenbezogene Daten gespeichert sind. Dies würde dem Auskunftsrecht des Betroffenen dienen und die Kontrolle durch den Datenschutzbeauftragten erleichtern.
Technische und organisatorische Maßnahmen - Stand der Technik
Nach § 17 Abs. 1 DSG MV sind "...die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich und angemessen sind, um die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz sicherzustellen...". Hier sollte ergänzt werden, daß sich die Art und Weise der Maßnahmen nach dem jeweiligen Stand der Technik zu richten hat. Zur Umsetzung dieser allgemein gehaltenen Forderung sollte bestimmt werden, daß die Landesregierung unter Beteiligung des Landesbeauftragten für den Datenschutz durch Rechtsverordnung die Anforderungen an die einzelnen Maßnahmen nach dem jeweiligen Stand der Technik festsetzt und fortschreibt. Eine Rechtsverordnung ist wie ein Gesetz allgemein verbindlich, ihr Erlaß sowie ihre Änderung sind aber wesentlich einfacher als bei einem Gesetz, so daß eine rasche Anpassung an den sich gerade in diesem Bereich rasant verändernden Stand der Technik erreichbar ist.
Beanstandungen gegenüber Hochschulen
Hochschulen haben eine besondere Stellung unter den juristischen Personen des öffentlichen Rechts. Beispielsweise steht ihnen die Selbstverwaltung im Rahmen der Gesetze zu. Trotz ihrer Autonomie können aber auch gegenüber diesen Institutionen Beanstandungen ausgesprochen werden. Um diesem Sachverhalt Rechnung zu tragen, sollten im § 28 DSG MV - Beanstandungen - die Hochschulen in der Aufzählung der möglichen Adressaten von Beanstandungen des Landesbeauftragten für den Datenschutz ausdrücklich erwähnt werden.
Der Datenschutzbeauftragte als oberste Landesbehörde
Die Landesverfassung verleiht dem Landesbeauftragten für den
Datenschutz die Stellung eines unabhängigen, allein den Gesetzen
unterworfenen Kontrollorganes. Es sollte daher im Wortlaut des
Landesdatenschutzgesetzes zum Ausdruck kommen, daß das Amt des
Landesbeauftragten für den Datenschutz als oberste Landesbehörde
beim Präsidenten des Landtages eingerichtet wird. Diese Klarstellung
ist angesichts der verfassungsrechtlichen Bedeutung sowie der sich aus dem
Datenschutzgesetz ergebenden Rechtsstellung und Aufgaben des
Landesbeauftragten für den Datenschutz geboten, insbesondere da er
auch das Recht zur Kontrolle anderer oberster Landesbehörden hat.
4.2 Entwurf eines Änderungsgesetzes
Der Innenminister übersandte mir den Referentenentwurf eines Ersten Gesetzes zur Änderung des Landesdatenschutzgesetzes mit der Bitte um Stellungnahme. Dieser Entwurf sieht unter anderem vor, § 27 Abs. 2 um einen zweiten Satz zu ergänzen.
Der bisherige § 27 Abs. 2 lautet:
"Die Rechte nach Absatz 1[Auskunfts- und Zutrittsrechte] dürfen nur vom Landesbeauftragten für den Datenschutz persönlich ausgeübt werden, wenn die zuständige oberste Landesbehörde im Einzelfall feststellt, daß die Sicherheit des Bundes oder eines Landes dies gebietet."
Als zweiter Satz soll hinzugefügt werden:
"In diesem Fall müssen personenbezogene Daten eines Betroffenen, dem von der datenverarbeitenden Stelle Vertraulichkeit besonders zugesichert worden ist, auch dem Landesbeauftragten für den Datenschutz gegenüber nicht offenbart werden."
In meiner Stellungnahme habe ich diese Ergänzung abgelehnt.
Die geplante Ergänzung würde dazu führen, daß zum Beispiel Daten, die von Mitarbeitern der Verfassungsschutzbehörde bei und über Referenzpersonen erhoben wurden, keiner externen Kontrolle mehr unterliegen. Die besondere Zusicherung der Vertraulichkeit schwächt somit die Rechtsstellung desjenigen, gegenüber dem sie erfolgte. Kontrollen insbesondere im Bereich des Verfassungsschutzes haben unter anderem ergeben, daß weit mehr Daten als erforderlich gespeichert wurden. Ohne die Kontrollbefugnis des Landesbeauftragten für den Datenschutz, die ihm nach dem Willen des Innenministers möglichst entzogen werden soll, wäre diese für den Betroffenen nachteilige Situation wahrscheinlich nicht bekannt geworden.
Insgesamt stellt die vorgeschlagene Ergänzung die Schaffung eines kontrollfreien Bereichs dar, verbunden mit einer erheblichen Einschränkung der Rechte des Bürgers.
Der Stellungnahme habe ich als Anlage meine Novellierungsvorschläge beigefügt. Außerdem habe ich auf den Änderungsbedarf hingewiesen, der sich aus der inzwischen verabschiedeten EU-Datenschutzrichtlinie ergibt (siehe Abschnitt 2.1).