Das Berichtsjahr war für uns neben der stets vielfältigen Alltagsarbeit durch vier datenschutzrechtliche "Großereignisse" geprägt, die das mir anvertraute Verfassungsanliegen insgesamt ein gutes Stück vorangebracht haben:

Daß es dem hessischen Gesetzgeber gelungen ist, die Dreijahresfrist einzuhalten, innerhalb derer alle Mitgliedsstaaten der Europäischen Union ihr Datenschutzrecht an die Anforderungen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutze natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 anzupassen hatten, ist das Ergebnis einer vorbildlich überparteilichen und fachlich-sachlichen Zusammenarbeit des Parlaments und der Landesregierung unter der Federführung des Innenministeriums. In die Beratungen war mein Haus von Anfang an intensiv eingebunden. Der Erfolg dieser Kooperation ist um so bemerkenswerter, als kein anderes Bundesland und auch nicht der Bundesgesetzgeber dieser Pflicht rechtzeitig nachgekommen ist. Dieses Versäumnis hat für Hessen insofern Bedeutung, als das Datenschutzrecht und die Datenschutzkontrolle in der Privatwirtschaft noch nicht richtlinienkonform geregelt sind. Da die Regelungskompetenz für den Datenschutz im nicht-öffentlichen Bereich allein beim Bund liegt und die von den Ländern zu organisierende Kontrolle der privaten datenverarbeitenden Stellen der Vorgaben durch ein modernisiertes Bundesdatenschutzgesetz bedarf, war es vertretbar, die in meinen früheren Tätigkeitsberichten angesprochene Frage der Verselbständigung und Zusammenlegung der zur Zeit noch bei den Regierungspräsidien angesiedelten Datenschutzkontrollstellen einer späteren gesetzlichen Regelung vorzubehalten.

Die Gespräche darüber, aber auch die förmlichen Stellungnahmen zu diesem Thema während des Berichtszeitraums haben gezeigt, daß meine Auslegung der Richtlinie, wonach die Datenschutzkontrollstellen für alle Bereiche funktional und institutionell unabhängig anzusiedeln sind, in allen Fraktionen des Landtages immer mehr Anhänger hat, während die Landesregierung und einzelne Abgeordnete gegen die Konstruktion völlig unabhängiger, d.h. auch von einem Ministerium weisungsfreien Aufsichtsbehörden, noch verfassungsrechtliche Bedenken geltend machen.

Es ist zu hoffen, daß diese anhaltende Diskussion durch die Beschlüsse des 62. Deutschen Juristentages aus dem September 1998 positiv befruchtet wird. Unter dem Vorsitz des Bundesverfassungsrichters Prof. Kirchhoff hat die öffentlich-rechtliche Abteilung des Juristentages auf meinen durch ein eigenes Referat begründeten Antrag u.a. mehrheitlich beschlossen, daß das materielle Datenschutzrecht für den öffentlichen und den privaten Bereich einander anzugleichen ist. Außerdem hat sich der Juristentag dafür ausgesprochen, die Kontrollstellen für die privatwirtschaftliche Datenverarbeitung "verselbständigt und weisungsfrei" zu institutionalisieren und das Datenschutzrecht in eine allgemeine "Informationsverkehrsordnung" einzupassen (Beschlüsse im Anhang 4). Dabei ist mittel- oder langfristig an ein "Bundesinformationsgesetz" gedacht, das auch das Recht des Zugangs zu Daten der öffentlichen Verwaltung und seine Grenzen regelt. Mein Amt wird dafür eintreten, daß das Land Hessen im Rahmen seiner föderativ-verfassungsrechtlichen Möglichkeiten eine solche Entwicklung aufgeschlossen und konstruktiv begleitet.

Der einjährige Vorsitz in der Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat mir besonders eindrucksvoll vor Augen geführt, wie wichtig und wertvoll die Bemühungen um gemeinsame Standards zum Schutz des Rechts der Bürgerinnen und Bürger auf informationelle Selbstbestimmung sind und welchen Wert der ständige Austausch zwischen allen mit dieser Aufgabe betrauten Stellen und Personen hat. Neben den intensiven Sachdiskussionen, deren Ergebnisse nur insoweit, als sie in förmliche Entschließungen eingeflossen sind, unter Ziff. 26 zu diesem Bericht abgedruckt sind, hat sich die Konferenz jeweils auch in einem Informationsprogramm von der Praxis der Datenverarbeitung in spezifischen Zusammenhängen vertraut gemacht. Die Frühjahrskonferenz konnte sich einen halben Tag lang bei der Frankfurter Flughafen AG von dem hohen technischen Aufwand überzeugen, mit dem die komplexen Datenbewegungen teils durch öffentliche Stellen (Bundesgrenzschutz), teils durch nicht-öffentliche Unternehmungen (Airlines, FAG) mit ausgeprägtem Sinn für den Datenschutz organisiert werden. Anläßlich der Herbstkonferenz hat uns der Präsident des Bundeskriminalamtes in seiner Behörde empfangen und u.a. durch die auf diesem Gebiet tätigen Spezialisten eine praktische Anschauung von den Recherchen nach strafbaren Inhalten im Internet ermöglicht. Der bei diesen Anlässen geführte konstruktive Gedanken-, Erfahrungs- und Meinungsaustausch mit unseren kompetenten Gesprächspartnern hat erneut gezeigt, wie wichtig es ist, bei unserer täglichen Arbeit sowohl die Praxisrelevanz unserer normativen Anforderungen als aber auch die Vernetzungen informationeller Einzelvorgänge im Blick zu behalten. Dabei war in beiden Fällen wiederum die Sinnwidrigkeit einer Unterscheidung zwischen öffentlicher und nicht-öffentlicher Datenverarbeitung augenfällig.

Einen Beitrag zur Vereinheitlichung der Praxis beim Zugang von personenbezogenen Daten auf einem besonders sensiblen Gebiet haben wir bei dem 7. Wiesbadener Forum Datenschutz zu leisten versucht. Das seit 1992 jährlich vom Präsidenten des Hessischen Landtages und vom Hessischen Datenschutzbeauftragten veranstaltete Forum hat sich von Anfang an zum Ziel gesetzt, Reichweite und Grenzen des Grundrechts auf informationelle Selbstbestimmung auf ihre Vereinbarkeit mit anderen wichtigen Anliegen der Rechtsordnung zu überprüfen. Ein Spannungsverhältnis besteht überall dort, wo eine grundrechtsverankerte und damit ebenfalls verfassungsgetragene Freiheitsgarantie mit dem Recht auf informationelle Selbstbestimmung zusammentrifft. Das durch die Wissenschaftsfreiheit (Art. 5 Abs. 3 GG) geschützte Interesse der Forschung an der Erhebung, Verarbeitung und der weiteren Verwertbarkeit möglichst vieler personenbezogener Daten muß mit den Grundsätzen des Datenschutzrechts so in Einklang gebracht werden, daß weder verfassungswidrige Forschungshemmnisse auf Seiten der Wissensschaft noch ein Verlust an Selbstbestimmung auf Seiten der Betroffenen entstehen. Auf dem Forum diskutierten Medizininformatiker, Epidemiologen, Kriminologen, Wirtschaftsforschung und Datenschutzexperten über die Frage, wie die beiden Grundrechtsfelder in eine praktische Konkordanz gebracht werden können. Der Tagungsband unter dem Titel des Forums "Datenschutz und Forschung" ist bereits (1999) im NOMOS-Verlag erschienen. Er dokumentiert den gesamten Wortlaut der Referate und der Diskussionen sowie das bei dem Forum vorgestellte und auch im Anhang 3 zum vorliegenden Bericht abgedruckte gemeinsam mit Forschern erarbeitete Papier zur Vereinbarkeit von Datenschutz und epidemiologischer Forschung.

Die von meinen Mitarbeiterinnen und Mitarbeitern verfaßten Einzelbeiträge des Berichts legen nicht nur ein Zeugnis davon ab, was wir im Jahr 1998 getan haben. Es wird daraus auch deutlich, daß wir uns weiterhin nicht als Gegner der hessischen Staatsverwaltung, sondern als Gesprächspartner verstehen, die beratend, objektiv prüfend und gelegentlich auch deutlich kritisierend den unserer Kontrolle unterstehenden Adressaten des Hessischen Datenschutzgesetzes gegenübertreten. Dabei zeigt sich häufig, daß erst die genauere Befassung mit der Technik eines Prüfungsgegenstandes eine zutreffende Beurteilung des Gefährdungspotentials und die rechtliche Bewertung ermöglicht. Hierfür kann die ausführliche Darstellung des in der Öffentlichkeit viel beachteten Themas der sogenannten Geldkarte ("elektronischen Geldbörse") als Beispiel dienen. Die Konferenzentschließung dazu (Ziff. 26.2 ) konnte nach der Überprüfung der komplizierten rechtlichen und informationstechnischen Zusammenhänge durch eine differenzierte Bewertung mit praktischen Empfehlungen ergänzt werden (Ziff. 4).

Dieses und eine Reihe anderer Themen des Berichts haben zwar jeweils einen hessischen Anlaß, reichen aber in ihrer Bedeutung weit über unser Bundesland hinaus. Das gilt z.B. auch für die Probleme der Justizverwaltungen bei der Datenerhebung und Datenübermittlung im Zusammenhang mit der neuen beim Bundeskriminalamt errichteten DNA-Analyse-Zentraldatei (Ziff. 5.1) und mit der weiterhin fehlenden Rechtsgrundlage für eine Reihe anderer datenschutzrelevanter Vorgänge bei den Gerichten und Staatsanwaltschaften (Ziff. 6.1.1).

Das Hessische Ausführungsgesetz zum Bundeskrebsregistergesetz schreibt meiner Behörde zwei neue Aufgaben zu: Der Hessische Datenschutzbeauftragte ist Entschlüsselungsstelle für die Identitätsdaten der Patienten und in bestimmten Fällen sogar selbst speichernde Stelle für die Referenzlisten von einzelnen Arztpraxen (siehe Ziff. 7.1). Die personellen und sachlichen Voraussetzungen für diese völlig neuen Aufgaben müssen erst noch geschaffen werden.

Dieses Erfordernis ist eine weitere Bestätigung der schon in meinen vorangegangenen Tätigkeitsberichten beschriebenen Tendenz, die es dringend erforderlich erscheinen läßt, meine Behörde ausreichend mit Technik und informationstechnisch geschultem Personal auszustatten, weil das datenschutzrechtliche Know-how nur in enger Zusammenarbeit mit Informatikern einen Sinn macht, deren Kenntnisse und Fertigkeiten in den sich immer schneller ändernden Hard- und Softwarestandards zu den Bedingungen eines effektiven Datenschutzes gehören. Die Gruppe der in meinem Hause tätigen Informatikerinnen und Informatiker bedarf dringend einer Verstärkung. Dabei ist es nicht mit Erhaltung oder Schaffung von Planstellen und deren Besetzung getan. Unverzichtbar ist auch die Bereitstellung von Arbeits- und finanziellen Mitteln, um durch ständige Weiter- und Fortbildung den Anschluß an die rasante Entwicklung nicht zu verlieren.

Ich danke allen meinen Mitarbeiterinnen und Mitarbeitern für die im Berichtszeitraum geleistete Arbeit, die sich nur insoweit in dem Bericht niederschlägt, als es um nicht "alltägliche" Tätigkeiten geht. Würden wir auch diese im Bericht festhalten, wäre er zu umfangreich. Ich bin aber zuversichtlich, daß den Leserinnen und Lesern auch so unsere Pflichterfüllung deutlich wird.

R.H.

 Inhalt, <=, =>,