Brauchen wir mehr oder haben wir möglicherweise schon zu viel Datenschutz? Diese Frage gewinnt in unserer Informationsgesellschaft zunehmend an Bedeutung. Die Antworten darauf werden unterschiedlich ausfallen, je nachdem, wem man diese Frage stellt. So wird von Einzelnen auch heute immer noch das Grundrecht des Bürgers auf informationelle Selbstbestimmung in aller Öffentlichkeit gern als "Täterschutz" diffamiert. Auf der anderen Seite gibt es aber bereits viele Betroffene, die angesichts der rasanten Entwicklung der Informations- und Kommunikationstechnik Orwells Visionen schon in sehr naher Zukunft als furchtbare Realität sehen.
Ein renommiertes Forschungsinstitut hat die Bevölkerung befragt und dabei festgestellt, dass allein 47 % der Befragten der Meinung sind, in der Bundesrepublik werde zu wenig für den Datenschutz getan. Lediglich 4 % haben sich gegenteilig geäußert. 52 % der Befragten in Westdeutschland und 66 % in Ostdeutschland wünschen sich, dass dem Datenschutz künftig mehr Bedeutung zukommt. Dieses Ergebnis spiegelt auch die Situation in Mecklenburg-Vorpommern ganz gut wider. In der Tagesarbeit ist insgesamt ein wachsendes Interesse der Bürger und der Verwaltungen am Datenschutz zu konstatieren. Die Anzahl der Petitionen und Anfragen öffentlicher Stellen ist im Berichtszeitraum stark gestiegen.
Zu mehr Datenschutz gehört aber nicht nur, dass der Gesetzgeber die gesetzlichen Voraussetzungen verbessert. Dazu gehört auch, dass die Stelle, die im Interesse des Bürgers die Einhaltung der datenschutzrechtlichen Bestimmungen zu kontrollieren hat, ihre Aufgabe auch tatsächlich so wahrnehmen kann, wie es der Gesetzgeber vorsieht. Das war in diesem Berichtszeitraum nicht immer ohne weiteres möglich.
So konnte beispielsweise eine Petition nicht befriedigend bearbeitet werden, weil eine öffentliche Stelle die Auskunft verweigerte. Im konkreten Fall hat ein Notar Grundbuchakten seines Nachbarn eingesehen und damit möglicherweise gesetzwidrig personenbezogene Daten zur Kenntnis genommen. Auf meine Anfrage hin teilte der Notar mit, dass er nicht als Privatperson, sondern in Amtshilfe für einen Kollegen tätig war. Er sei jedoch aufgrund der notariellen Verschwiegenheitspflicht nicht bereit, dessen Namen zu nennen. Der Notar verstößt damit gegen seine Pflicht als öffentliche Stelle des Landes, den Landesbeauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen. Da das Justizministerium als oberste Aufsichtsbehörde hierin allerdings keine Pflichtverletzung sieht – eine durchaus bürgerunfreundliche und im Vergleich zu anderen Bundesländern eher exotisch anmutende Rechtsauffassung – war es bisher nicht möglich, diesen Vorgang abschließend zu bearbeiten. Das musste ich dem Petenten so mitteilen. Ausführlich ist der Vorgang unter Punkt 3.1.10 des vorliegenden Berichtes geschildert.
In einem anderen Fall geht es ebenfalls um eine Grundsatzentscheidung zur Kontrollbefugnis des Landesbeauftragten für den Datenschutz, und zwar in laufenden Ermittlungsverfahren (siehe dazu Punkt 3.1.13). Das Justizministerium äußert sich jedoch nicht zur Sache, sondern verweist auf die anstehende Novellierung des Landesdatenschutzgesetzes. Das Ministerium verzichtet also auf eine Bewertung des Sachverhaltes nach geltendem Recht und nimmt damit auch das Bestehen einer rechtswidrigen Situation in Kauf. Dies könnte unter Umständen dann hingenommen werden, wenn der Erlass einer entsprechenden rechtfertigenden Regelung erstens sicher zu erwarten ist und zweitens unmittelbar bevorsteht. Beides ist hier jedoch nicht der Fall. Im aktuellen Referentenentwurf für das neue Landesdatenschutzgesetz ist eine Vorschrift, die Kontrollbefugnisse derartig einschränkt, jedoch nicht vorgesehen. Zudem ist bei dem gegenwärtigen Stand der Dinge überhaupt nicht absehbar, wann unser Landesdatenschutzgesetz tatsächlich novelliert wird. Längst überfällig ist dieser Schritt allemal.
Drei Jahre hatte der Gesetzgeber Zeit, die EG-Datenschutzrichtlinie in Landesrecht umzusetzen. Diese Frist ist in Mecklenburg-Vorpommern ebenso klang- und wirkungslos verstrichen, wie die Mahnungen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie meine Hinweise und Vorschläge zur Novellierung des Landesdatenschutzgesetzes in den vorangegangenen drei Tätigkeitsberichten ungehört geblieben sind.
Für das Gesetzgebungsverfahren ist das Innenministerium unseres Landes federführend. Deshalb hatte ich dem Innenminister kurz nach den Landtagswahlen '98 empfohlen, möglichst bald die Novellierung des Landesdatenschutzgesetzes auf den Weg zu bringen. Recht zügig wurde in guter Zusammenarbeit mit mir ein Referentenentwurf erarbeitet, der sowohl den Anforderungen der EG-Richtlinie als auch der technischen Entwicklung weitgehend Rechnung trägt.
Trotzdem liegt dem Landtag bis heute kein Kabinettsentwurf vor, und wenn es so weitergeht, steht zu befürchten, dass wir den alten Bismarck in seiner Meinung über uns wieder einmal bestätigen. Darüber hinaus hat die Europäische Kommission wegen der unterlassenen Umsetzung der Datenschutzrichtlinie inzwischen ein Verfahren beim Europäischen Gerichtshof eingeleitet. Gegenstand dieses Verfahrens ist unter anderem das Datenschutzrecht in den einzelnen Bundesländern, also auch die Situation in Mecklenburg-Vorpommern. Ein mögliches Urteil könnte sein, dass Deutschland – und damit der Steuerzahler – für jeden Tag der Nichtberücksichtigung der Richtlinie nach Ablauf der Umsetzungsfrist viel Geld an die Europäische Gemeinschaft zahlen muss.
Eine bereits spürbare negative Auswirkung dieses Verstoßes gegen europäisches Recht ist die partielle Ungültigkeit des Landesdatenschutzgesetzes und anderer Datenschutzbestimmungen. Denn einige Vorschriften der Richtlinie entfalten Direktwirkung und verdrängen dadurch die entsprechenden nicht angepassten Datenschutzregelungen des Landes (siehe dazu Punkt 2.4). Jede Behörde unseres Landes muss sich daher eingehend mit der Datenschutzrichtlinie befassen und bei jedem datenschutzrelevanten Vorgang prüfen, ob nicht die Richtlinie anstelle des Landesdatenschutzgesetzes oder anstelle der Regelungen in dem betreffenden bereichsspezifischen Gesetz anzuwenden ist. Dieser sowohl den Behörden als auch dem Bürger unzumutbare Zustand sollte möglichst bald beendet werden.
Am 21. Oktober 1999 hat unser Landesverfassungsgericht eine für die Gewährleistung des Grundrechtes auf informationelle Selbstbestimmung in unserem Lande bedeutsame Entscheidung getroffen. Es hat die vom Parlament im Jahre 1998 verabschiedete gesetzliche Regelung zu den verdachts- und ereignisunabhängigen Polizeikontrollen im Wesentlichen für verfassungswidrig erklärt (siehe dazu Punkt 3.2.2). Damit hat das höchste Gericht im Lande Maßstäbe gesetzt für ein datenschutzfreundliches Polizeirecht. Es bleibt zu hoffen, dass diese Entscheidung auch bei künftigen Gesetzgebungsverfahren berücksichtigt wird.
Turnusgemäß hatte Mecklenburg-Vorpommern im Jahr 1999 den Vorsitz der Konferenz der Datenschutzbeauftragten des Bundes und der Länder. Für die Frühjahrskonferenz hatte der Präsident unseres Landtages die Teilnehmer freundlicherweise in das Schweriner Schloss eingeladen. Die Herbstsitzung haben wir mit freundlicher Unterstützung des Innenministers und des Oberbürgermeisters der Hansestadt Rostock im altehrwürdigen Ständehaus in Rostock durchgeführt. Der Vorsitz war für meine kleine Behörde zwar eine große Herausforderung, aber stets interessant, und durch die engagierte Arbeit aller Mitglieder ist es uns gelungen, außergewöhnlich viele Entschließungen zu aktuellen Themen des Datenschutzes einstimmig zu verabschieden. Die Texte sind als Anlagen in diesem Bericht zu finden.
So wurde beispielsweise eine Entschließung zur Gesundheitsreform 2000 verabschiedet. Durch gemeinsame Anstrengungen aller Datenschutzbeauftragten konnte erreicht werden, dass die Bundesregierung den datenschutzrechtlichen Teil des Gesetzentwurfes zur Reform der gesetzlichen Krankenversicherung überarbeitet und unsere Empfehlungen im Wesentlichen umgesetzt hat. In der Frage der Datenverarbeitung bei den gesetzlichen Krankenkassen ist es zum Beispiel gelungen, alle Beteiligten davon zu überzeugen, im Bereich der ambulanten ärztlichen Versorgung pseudonymisierte Daten zu verarbeiten, um die Gefahr des "gläsernen" Patienten zu bannen (siehe Punkt 3.10.1). Mit pseudonymisierten Daten ist eine unmittelbare Identifizierung eines Versicherten nicht möglich. Statt des Namens oder der Versichertennummer wird beispielsweise eine Codierung (Pseudonym) verwendet. Nur in Ausnahmefällen ist es zulässig, mit Hilfe der Verschlüsselungsfunktion daraus wieder einen Versicherten zu bestimmen. Es ist allerdings wegen anderer Schwierigkeiten in der Gesetzgebung noch nicht klar, wann diese Regelungen in Kraft treten.
Erfreulich ist auch die Entwicklung in einem wichtigen datenschutztechnischen Bereich. Nachdem die Bundesregierung sich lange mit der Frage befasst hat, ob der Einsatz von Verschlüsselungsverfahren rechtlich geregelt werden sollte, hat sie am 2. Juni 1999 die Eckpunkte der deutschen Kryptopolitik veröffentlicht. Verschlüsselungsprodukte sind nun frei verfügbar. Für Wirtschaft und Verwaltung Mecklenburg-Vorpommerns folgt daraus, dass Verschlüsselung im Sinne dieser Eckpunkte bei IT-Verfahren unseres Landes zu einem Standardmerkmal werden kann und sollte. Allerdings sind nun schnell Rahmenbedingungen zu schaffen, die eine einfache und weitgehend einheitliche Nutzung von kryptographischen Verfahren in der gesamten Landesverwaltung ermöglichen (siehe dazu Punkt 3.16.2 und 3.16.3).