(neumann.pdf / 45kB)
„Moderner Datenschutz –
Vom Gesetz zur Praxis“
Das Datenschutzrecht wird allgemein als ein sehr junger Rechtszweig
wahrgenommen, der erst Ende der 70-iger Jahre nur zögerlich konstituiert,
von Hessen ausgehend, die Gesetzgeber in Ländern und schließlich
auch - Hand in Hand mit europa-rechtlichen Regelungen -den
Bundesgesetzgeber erreichte.
Einen der wichtigsten Meilensteine hat das Bundesverfassungsgericht
im Dezember 1983 gesetzt und damit das bis heute gültige Verständnis
des Datenschutzrechtes zementiert:
Datenschutz als Abwehrrecht des Bürgers gegen
eine zunehmende Gefährdung seines Selbstbestimmungsrechtes
durch die Entwicklung moderner Informations- und Kommunikationstechnik
in der Hand eines grundsätzlich überwachungswilligen Staatsapparates.
Das so verstandene Recht des Einzelnen, grundsätzlich selbst über
die Preisgabe und Verwendung seiner Daten zu bestimmen,
fand seinen Ankerplatz bei Art. 1 Abs. 1 Grundgesetz, wonach als unabdingbare
Grundfeste des gesamten Staatswesens die Würde des Menschen postuliert
wurde, deren Achtung und Schutz Aufgabe aller staatlichen Gewalt, also
auch des Gesetzgebers und seiner Verwaltung ist.
Dieses als Abwehrrecht gegen die Gefahr des gläsernen Bürgers
konstruierte Grundrecht fand dann wegen der Ausstrahlungswirkung der
Grundrechtsbindung auch seinen Niederschlag in den bundesgesetzlichen
Regelungen des privaten Wirtschaftsverkehrs, also im Rahmen der für
sämtliche Wirtschaftstätigkeit von privaten und juristischen
Personen bindenden Regelungen des Bundesdatenschutzgesetzes.
In diesem Sinne waren und sind jedoch die datenschutzrechtlichen Bindungen
im Wirtschaftsverkehr nur insofern neu und modern, als
dass sie über
den Umweg der Ausstrahlungswirkung der Grundrechte oder einer EG-Richtlinie
in Deutschland angekommen sind. Diese Herkunft des Datenschutzrechtes
(und damit auch die der Datenschutzbeauftragten) vermittelt dem Recht
auf informationelle Selbstbestimmung das Image einer bevormundenden
politischen Aufsicht, die aktuell immer wieder verbunden wird mit Schlagwörtern
wie „wirtschaftshemmende Bürokratie“ und „Überreglementierung
einer lahmenden Wirtschaft auf Kosten des Steuerzahlers“.
Gerade ein Blick auf die EG-Richtlinie weist jedoch auf eine andere
und viel ältere Herkunft von Datenschutzrechten hin. Sie formuliert
als Ziel nicht vordergründig den Schutz des Selbstbestimmungsrechtes
der EG-Bürger, sondern die Herstellung einheitlicher Wettbewerbsbedingungen
für die Unternehmen in Europa. Wirtschaftsbeziehungen benötigen
nämlich nicht erst seit der Zeit der Hansereisenden vor allem
eines: zuverlässige und wahrheitsgemäße Informationen
als unabdingbare Grundlage jeder vernünftigen Entscheidung. Dies
gilt im Privatrechtsverkehr gleichermaßen wie im Arzt-Patient-Verhältnis
oder im Beichtstuhl.
Deshalb sind das Beichtgeheimnis wie der hippokratische Eid oder die
Regelungen des Bankgeheimnisses immer auch in der Dualität ihrer
Zielrichtungen wirtschaftsfördernde Gesetze gewesen, die ihre
konsequente Modernisierung im Datenschutzrecht finden. Die Vorschriften über
die Verschwiegenheit in den besonderen Vertrauensverhältnissen
zwischen Arzt und Patienten oder zwischen Bankangestellten und Kunden
gewährleisten nicht nur gegenüber beiden Seiten der jeweiligen
Verträge die Verschwiegenheit der Beteiligten und damit die Vertraulichkeit
der ausgetauschten Informationen, sondern garantieren auf der anderen
Seite auch den Schutz - und gegebenenfalls die Durchsetzung - dieses
Verschwiegenheitsanspruches durch den Staat. Dieser Schutz des Verschwiegenheitsverhältnisses
schließt dabei auch ein, dass der Staat selbst diese Verhältnisse
achtet. Mit der Entwicklung der Informationsgesellschaft und der Erschließung
der damit verbundenen technischen Möglichkeiten – auch durch die öffentliche
Verwaltung – gerät leider dieser zweite Aspekt überall dort
in Gefahr, wo der Staat seine eigene Informationsgrundlage beständig
ausbauen und erweitern will oder auch – und vor allem dort – wo er
seine finanzielle Grundlage verbreitern möchte.
Die Modernisierung der öffentlichen Verwaltung stellt sich damit
ebenfalls, wie in der freien Wirtschaft, vor allem als Implementierung
moderner Informations- und Kommunikationssysteme in den Verwaltungsablauf
dar, die zu Effizienzgewinnen hinsichtlich der Geschwindigkeit von
Entscheidungen sowie dem sachlichen und Personalaufwand führen
soll.
Damit gehen jedoch auch Bedrohungen einher, die nicht unbeachtet bleiben
dürfen. Die Entwicklung der RFID-Technik – vor allem auf Betreiben
großer Handelsunternehmen – verfolgt das Ziel der Kostenreduzierung
im Zwischen- und Einzelhandel. Die Einführung elektronischer Dokumentensysteme
spart Arbeitskräfte in der Wirtschaft und in der öffentlichen
Verwaltung und die Zusammenführung großer Datenbestände,
verknüpft mit statistischen Daten, soll in Form von Data-Mining
Scoring-Verfahren ermöglichen, um schneller und zielgenauer den
jeweiligen Geschäftspartner, seine Zahlungsfähigkeit und
Zahlungswilligkeit einschätzen zu können.
Es verändern sich die räumlichen Relationen zwischen Geschäftspartnern,
Informationen und Waren dergestalt, dass Manipulationen beim Anbieter,
beim Transport oder in der Infrastruktur des Nutzers möglich,
also zu berücksichtigen, sind.
Notwendigerweise fallen auch hier personenbezogene Daten an, die jedoch
vielfach kopiert an unterschiedlichsten Orten zwischengelagert
und damit einem vielfältigen Zugriff ausgesetzt sind.
Komplexität, Verfahren und Kosten dieser modernen Technik erzwingen
gerade im öffentlichen Bereich eine Zentralisierung von Datenbeständen,
die das bisherige Schutzkonzept der informationellen Gewaltenteilung
grundsätzlich in Frage stellt.
Überall dort, wo moderne Informations- und Kommunikationstechnik
auch zur Kostensenkung eingeführt werden soll besteht die Tendenz,
ihr mehr als nötig und rechtlich zulässig zu übertragen,
beispielsweise die Automatisierung von Einzelentscheidungen.
Damit sind nur kurz und ganz grob die Herausforderungen beschrieben,
denen sich der Datenschutz stellen muss.
Diese Herausforderungen stellen sich als gewaltige und aufgewühlte
Wassermassen dar, denen der „Deich“ aus Bundes- und Landesgesetzblättern,
von rot gebundenen Gesetzessammlungen und Kommentaren zum Datenschutzgesetz
von Simits oder Weichert oder Büllesbach und selbst ein Handbuch
von Rossnagel nicht gewachsen zu sein scheint. Also werfen wir immer
neue gesetzliche Regelungen und Aufsätze und hilfreiche oder weniger
hilfreiche Gerichtsurteile ins ungleiche Gefecht, um dann doch feststellen
zu müssen, dass der so errichtete Staudamm überall dort zu
brechen droht, wo unser wachsames Auge gerade nicht ruht.
In Anbetracht dieser Situation wird sicherlich niemand von uns in
seinen Bemühungen anhalten, das Bild des selbstverantwortlichen
und selbstbestimmten, würdevollen Menschen gegen alle Angriffe
zu verteidigen, wie es Herr Professor Simitis jüngst in seinem
leidenschaftlichen Plädoyer unterstellte.
Wir wollen uns aber auf die ursprüngliche Funktion des Datenschutzrechtes
besinnen, vertrauensvolle und gleichberechtigte wirtschaftliche Beziehungen
zwischen den Markteilnehmern zu ermöglichen und zu unterstützen.
Auch wenn dies nicht heißt, dass gesetzliche Regelungen komplett
durch Selbstregulierungsmechanismen der Wirtschaft ersetzt werden können,
so sollten wir jedoch auch auf diesem Feld einen weiteren Schritt wagen,
der im Interesse aller Beteiligten liegt.
§ 5 Abs. 2 Satz 2 Landesdatenschutzgesetz Mecklenburg-Vorpommern
eröffnet seit dem 28. März 2002 die Möglichkeit, ein
Datenschutz-Gütesiegel an Produkte zu verleihen, die aufgrund
einer Prüfung ihre datenschutzrechtliche Eignung für die
Anwendung innerhalb der öffentlichen Verwaltung des Landes Mecklenburg-Vorpommern
nachgewiesen haben. Damit erhielt ich – oder genauer gesagt erhielt
aufgrund seines unermüdlichen Einsatzes mein Amtsvorgänger – im
Interesse des Datenschutzes in Mecklenburg-Vorpommern die Möglichkeit,
erstmals präventiv auf der Seite der Herstellung von Informations-
und Kommunikationstechnik Einfluss zu nehmen.
Nachdem die Landesregierung bis heute ihren gesetzgeberischen Auftrag
nicht erfüllt hat, durch Rechtsverordnung die näheren Voraussetzungen
für ein solches Datenschutz-Auditverfahren festzulegen, habe ich
selbst die Initiative ergriffen und mit maßgeblicher Unterstützung
durch die Kolleginnen und Kollegen aus Schleswig-Holstein, das als
einziges Land bisher über praktische Erfahrungen bei der Auditierung
verfügt, einen Entwurf für eine Landesverordnung, den Anforderungskatalog
für die Begutachtung von IT-Produkten im Rahmen des Datenschutz-Auditverfahrens
und einen Informations- und Pflichtenkatalog für Sachverständige
und sachverständige Prüfstellen erarbeiten lassen.
Diese Entwürfe haben sich einer öffentlichen Diskussion
gestellt und waren Gegenstand eines für alle Seiten sehr interessanten
und aufschlussreichen Workshops am 6. Dezember 2005, ebenfalls hier
in Rostock. Die teilnehmenden Vertreter von öffentlicher Verwaltung,
Unternehmen, der IHK und meiner Behörde haben auf diesem Workshop
sehr viel von den Erfahrungen aus Schleswig-Holstein profitieren können
aber auch von dem Vortrag des Herrn Reinhard Wilke, Richter am Vergabesenat
beim Schleswig-Holsteinischen Oberlandesgericht, der zu vergaberechtlichen
Aspekten bei der Berücksichtigung so auditierter IT-Produkte im öffentlichen
Ausschreibungsverfahren referierte. Auf den Workshops wurden die einzelnen
Entwürfe diskutiert und im Nachgang entsprechend der Diskussion
von uns nochmals überarbeitet.
Sie finden in dem Konferenzmaterial all diese aktuellen Entwürfe
und die Vorträge des Workshops. Die Ergebnisse des Workshops haben
mich persönlich in der Überzeugung bestärkt, dass ein
solches Auditverfahren auf freiwilliger Basis für alle Seiten
vorteilhaft ist. Zum einen profitieren die Unternehmen, die die Produkte
herstellen und vertreiben. Mit dem Anforderungskatalog wird ihnen bereits
bei der Entwicklung von IT-Produkten ein Mittel in die Hand gegeben,
die datenschutzrechtlichen Anforderungen bereits bei der Konzipierung
der Produkte einfließen zu lassen und zu erkennen, welche technischen
Lösungen aus der Sicht des Datenschutzes geeignet sind, die rechtlich
vorgegebenen Zielsetzungen an das Verfahren im Einsatz für die öffentliche
Verwaltung zu erfüllen.
Des Weiteren profitieren die Unternehmen im Vertrieb dieser Produkte
vor allem in all den Bereichen, die besonderen Datenschutzanforderungen
unterliegen. So berichtete mir beispielsweise ein Unternehmen
aus Rostock, das System-Lösungen für Arztpraxen anbietet, dass sie von
jedem neuen Kunden angefragt werden, ob denn dieses Produkt bzw. diese
Anwendung den datenschutzrechtlichen Anforderungen für eine Arztpraxis
entspricht. Hier verspricht sich das Unternehmen von einer Zertifizierung
durch die – auch für die Arztpraxis – zuständige Aufsichtsbehörde
eine wesentliche Erleichterung durch ein Datenschutz-Gütesiegel.
Mit der zunehmenden Sensibilisierung – auch der Privatkunden – für
die datenschutzrechtlichen Gefährdungen bei der Nutzung moderner
Informations- und Kommunikationstechnik wird die Bedeutung eines solchen
Siegels auch im Privatkundengeschäft steigen.
Die öffentliche Verwaltung ist der zweite große Profiteur
einer solchen Auditierung. Sie hat damit erstmals ein Mittel in der
Hand, in einem Ausschreibungsverfahren die Geeignetheit der angebotenen
IT-Produkte auf einer objektiven Grundlage zu prüfen. Dies ist
besonders wichtig, vor dem Hintergrund der zunehmenden Bemühungen
zur Einführung von E-Government-Lösungen in allen Verwaltungen
in Mecklenburg-Vorpommern.
Wenn es bereits für das DVZ und die großen zentralen Landesanwendungen
schwierig ist, die Datenschutz- und Datensicherheitsaspekte wahrzunehmen,
so ist eine solche anbieterunabhängige Beratung für eine
Gemeinde oder für kleinere Städte erst recht nicht zu erreichen.
Diese Prüfung der Geeignetheit des Produktes würden wir sozusagen
in Dienstleistung für alle potentiell betroffenen öffentlichen
Stellen übernehmen und hier auch versuchen zu gewährleisten,
dass unsere Einschätzung nicht nur in Mecklenburg-Vorpommern,
sondern ebenso in Nordrhein-Westfalen, Schleswig-Holstein und selbst
in Bayern bei einer Prüfung durch die dort zuständigen Datenschutzbeauftragten
akzeptiert werden würde.
Dies zeigt die hohe Anforderung aber auch die Chancen mit dem Verfahren
für meine Behörde. Die Anforderung besteht vor allen Dingen
darin, selbst bei den datenschutzrechtlich – teilweise unterschiedlichen – Regelungen
der einzelnen Bundesländer diese bei der Aufstellung der technischen
Anforderungskataloge im Blick zu behalten und so zu gewährleisten,
dass die Anbieter zumindest auf landesrechtliche Unterschiede, die
sie zu berücksichtigen haben, durch uns hingewiesen werden.
Des Weiteren müssen wir natürlich mit dem Anforderungskatalog
auf dem Stand der Technik und des Datenschutzrechtes bleiben, weshalb
eine zeitliche Befristung des Gütesiegels selbstverständlich
sein dürfte. Wir gehen damit jedoch auch eine Verpflichtung ein,
die uns für einen gewissen Zeitraum – auch als Aufsichtsbehörde
selbst – bindet. Diese Bindung erfolgt zwar nicht im rechtlichen Sinne
aber es dürfte selbstverständlich sein, dass wir uns zumindest
temporär dann auch von einem durch uns ausgestellten Gütesiegel
von der Geeignetheit des technischen Verfahrens überzeugen lassen.
Ein solches Gütesiegel gibt uns die Chance, eine schon lange – nicht
nur in Mecklenburg-Vorpommern – gehegte Vorstellung vom modernen Datenschutz
umzusetzen.
Ich teile die Auffassung vieler Kollegen, dass es nicht ausreichen
wird, die Einhaltung von Datenschutzbestimmungen rechtlich
zu fordern, deren Durchsetzung aber praktisch kaum kontrollieren zu
können.
Viel erfolgreicher ist auch aus meiner Sicht das Konzept, dass keine
Technik, kein Handy oder kein RFID-Chip ein Werk in Deutschland verlassen
darf, der nicht mit einem datenschutzrechtlichen „Sicherheitsgurt“ ausgestattet
ist. Selbstverständlich obliegt die Entscheidung, ob dieser „Sicherheitsgurt“ beim
Fahren tatsächlich angelegt wird, immer noch dem einzelnen Nutzer.
Aber wenn die Technik entsprechend ausgestattet ist, führt sie
ihn zu einer datenschutzgerechten Lösung, erinnert ihn zum anderen
an das rechtliche Erfordernis und gibt damit dem Anwender selbst die
Entscheidungshoheit, seine Daten zu schützen und dieses Schutzniveau
auch festzulegen.
Es ist für mich bis heute eine sehr unbefriedigende Situation,
wenn wir als Aufsichtsbehörde sehr umfangreich bei der Ausgestaltung
und Einführung neuer technischer Verfahren beraten und unterstützen,
im Ergebnis diese Beratung und Unterstützung aber für das
jeweilige Unternehmen nicht „vorzeigbar“ ist.
So ging kurz nach meinem Amtsantritt die Meldung durch die Presse,
dass in den Schweriner Straßenbahnen Videokameras eingesetzt
werden, verbunden mit der empörten Anfrage, ob denn der Datenschutz
nichts dagegen unternehmen könne. In diesem Fall hat der Datenschutz
aber sehr frühzeitig etwas unternommen, indem er das Unternehmen
bei einer datenschutzgerechten Lösung für das spezifische
Problem unterstützte.
Ein Siegel „Vom Datenschutz geprüft“ neben den entsprechenden
Hinweistafeln in den Straßenbahnen wäre somit geeignet gewesen,
zum einen den berechtigten Befürchtungen der Bevölkerung
entgegen zu kommen, zum anderen das Unternehmen vor unangenehmen Unterstellungen
zu bewahren und zugleich für die Tätigkeit meiner Aufsichtsbehörde
zu werben.
Anrede,
nunmehr brauche ich Ihre Unterstützung.
Ich möchte gern als Landesbeauftragter für den Datenschutz
die Möglichkeit haben, nicht nur Verbote und Beanstandungen auszusprechen,
Fehler zu kritisieren und Verstöße anzuprangern, sondern
auch gute Lösungen befördern, deren Verbreitung unterstützen
und datenschutzgerechten technischen Lösungen zum Durchbruch verhelfen.
Datenschutz und Technik sind keine Widersacher und der Landesbeauftragte
für den Datenschutz ist nicht der Feind moderner Informations-
und Kommunikationstechnik. Deshalb verfolge ich dieses Anliegen so
hartnäckig und bitte Sie nunmehr, mich dabei zu unterstützen,
den Innenminister unseres Landes von der Erforderlichkeit einer solchen
Verordnung zu überzeugen.
Eine Umfrage bei den Industrie- und Handelskammern des Landes Mecklenburg-Vorpommern
ergab zum Ende des letzten Jahres die Aussage, dass die
Unternehmen ein solches Gütesiegel nicht wünschen. Dem widerspricht allerdings
meine persönliche Erfahrung, denn eine ganze Reihe von Unternehmen
haben bereits bei mir angefragt, wann sie denn ein Gütesiegel,
wie in Schleswig-Holstein, auch hier in Mecklenburg-Vorpommern erhalten
können.
Ein solches Gütesiegel schadet niemandem, nützt allen beteiligten
Seiten und ist zugleich ein wichtiger Baustein für den modernen
Datenschutz der Zukunft.
Ich freue mich, dass die heutige Fachtagung zu diesem Thema gemeinsam
mit den Industrie- und Handelskammern Mecklenburg-Vorpommerns
einen Beitrag leistet, auch diese Diskussion voran zu bringen
und die Idee zu verbreiten. Wir verstehen uns als Partner für Unternehmen und
Verwaltung und möchten als solche auch wahrgenommen werden.
Ein Datenschutzgütesiegel könnte einen wirksamen Beitrag
dazu leisten, nicht nur die Datenschutzgesetze umzusetzen,
sondern der dahinterstehenden Idee den Durchbruch in die Praxis der
Informations- und Kommunikationstechnik erleichtern.
Vielen Dank für Ihre Unterstützung und ihre Aufmerksamkeit.
|
