Datenschutzbeauftragte lehnen Forderungen der Innenministerkonferenz ab
Die Innenminister des Bundes und der Länder haben auf ihrer Konferenz am 24.11.2000 gefordert, für Zwecke der Strafverfolgung "den Providern und Betreibern von Servern eine Protokollierungspflicht hinsichtlich der IP-Adresse und des Nutzungszeitraums sowie eine angemessene Aufbewahrungszeit der Daten" vorzuschreiben.
Nach Auffassung der Datenschutzbeauftragten von Baden-Württemberg, Bayern, Berlin, Bremen, Brandenburg, Hamburg, Hessen, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland, Sachsen, Sachsen-Anhalt und Schleswig-Holstein wäre eine solche Vorschrift verfassungswidrig. Das Bundesverfassungsgericht hat wiederholt festgestellt, dass die Speicherung personenbezogener Daten nicht zu einer Rundumbeobachtung der Bürger führen darf. Das wäre aber im Bereich der Internetnutzung mit der angestrebten Regelung der Fall. Dieses Verfahren würde den mit den Vorschriften über Tele- und Mediendienste gewährleisteten Datenschutz in unvertretbarer Weise abbauen. Es widerspräche auch dem von der Bundesregierung selbst vorgelegten Entwurf einer Novelle zum Bundesdatenschutzgesetz, das die Entwicklung und den Einsatz von technischen Verfahren vorsieht, die mit einem Minimum an personenbezogener Datenverarbeitung betrieben werden können.
Die Forderung der Innenministerkonferenz lässt sich vergleichen mit einer Verpflichtung der Post, sämtliche Absender- und Empfängerangaben im Briefverkehr für Zwecke einer möglichen späteren Strafverfolgung zu speichern und für den Zugriff der Sicherheitsbehörden bereitzuhalten. Die Datenschutzbeauftragten halten den Versuch der Innenminister, das Internet für Zwecke der Strafverfolgung in ein Fahndungsnetz zu verwandeln, für ungeeignet und unangemessen.
Die bestehenden Befugnisse der Strafverfolgungsbehörden gewährleisten schon jetzt eine effektive Strafverfolgung im Internet, denn es ist den Providern ohne weiteres technisch möglich, IP-Nummern ab dem Zeitpunkt des Vorliegens eines entsprechenden richterlichen Beschlusses, oder bei Gefahr im Verzug einer staatsanwaltlichen Anordnung, vorzuhalten.
Das Vorhaben der Innenministerkonferenz würde zu einem unverhältnismäßigen Eingriff in das Recht auf informationelle Selbstbestimmung von Millionen rechtstreuer Internetnutzer führen, die keineswegs alle potenzielle Straftäter sind. Das gesamte Vorhaben wäre zudem zur Verfolgung von schweren Straftaten untauglich, weil Straftäter ohne größere technische Schwierigkeiten auf Provider in anderen Ländern ausweichen könnten.
Die Datenschutzbeauftragten lehnen die Forderung der Innenminister nach einer solchen Protokollierungs- und Aufbewahrungspflicht bei der Internetnutzung ab. Allen Bürgerinnen und Bürgern muss auch zukünftig eine unbeobachtete Nutzung des Internet möglich sein.
Rede vor dem Hessischen Landtag am 23. November 2000
Debatte zum 28. Tätigkeitsberichts des Hessischen Datenschutzbeauftragten
Prof. Dr. Friedrich von Zezschwitz
Hessischer Datenschutzbeauftragter
Die knapp bemessene Zeit möchte ich für drei Punkte verwenden, die mir am wichtigsten erscheinen:
1. Das Hessische Datenschutzgesetz
In der Vergangenheit hat sich der Anwendungsbereich des Hessischen Datenschutzgesetzes (HDSG) in drei bedeutsamen Punkten als zu eng erwiesen:
2. Aufsicht über Unternehmen und sonstige nicht-öffentliche Stellen
Dringend notwendig ist auch die Anpassung der Aufsicht über nicht-öffentliche Stellen. Sie liegt derzeit aufgrund einer schlichten Verwaltungsanordnung des Innenministeriums vom 10. Januar 1978 bei den Regierungspräsidien. Die seit mehr als zwanzig Jahren unverändert gültige Anordnung genügt Art. 28 Abs. 1 EG-Richtlinie nicht. Europarechtlich ist eine "völlige Unabhängigkeit" der Überwachungsbehörden sicherzustellen. Diesem Gebot kann durch eine bloße Verwaltungsanordnung über die Zuständigkeit nicht genügt werden. Die Gewährleistung von Unabhängigkeit setzt einen Rechtsstatus der eingesetzten Bediensteten voraus, der denen mit richterlicher Funktion gleicht. Wo das deutsche Verfassungsrecht von Unabhängigkeit spricht, meint es vollständige Weisungsfreiheit und gestattet nicht einmal eine Rechtsaufsicht. Nicht anders kann die Europäische Richtlinie gedeutet werden. Die Schaffung eines ministerialfreien Raumes "völliger Unabhängigkeit" kann nur durch Gesetz geschaffen werden. Sollte eine parlamentarische Kontrollkommission eingesetzt werden, kann auch das nur durch Gesetz erfolgen. Der Landtag muss binnen kurzem tätig werden, da die Europäische Kommission bereits Erkundigungen über den Stand der Umsetzung der Richtlinie bei mir eingezogen hat.
Da sich mit der Aufhebung der Anlasskontrolle im Bundesdatenschutzgesetz eine erhebliche Ausweitung der Überwachungspflichten der Aufsichtsbehörden ergeben wird, sind auch verwaltungsorganisatorische Neuordnungen vorzunehmen, da die wenigen Bediensteten der Regierungspräsidien diese Zusatzleistungen kaum werden erbringen können..
II. Videoüberwachung des öffentlichen Raumes
1. Verwaltungsvorschrift zur Neuregelung des § 14 HSOG
Im Mai dieses Jahres hat der Landtag eine erste umfassende Regelung zur Videoüberwachung durch Verwaltungs- und Polizeibehörden verabschiedet. Ich habe mich trotz einiger Desiderate, die nicht Gesetz geworden sind, grundsätzlich positiv geäußert und halte daran auch heute fest. Inzwischen vollzieht sich jedoch eine gravierende Umwertung. Sie befindet sich im Entwurf der Verwaltungsvorschriften zum
HSOG: Das Ministerium plant, alle Einrichtungen zur Videoüberwachung voraussetzungslos zuzulassen, die nicht mit einer Aufzeichnungsmaschine verbunden sind. Ich habe dieser Absicht des Ministeriums mehrfach ohne Erfolg widersprochen. Derzeit sehe daher allein den Weg in das Plenum des Landtages, um dieser verhängnisvollen Interpretation der neu geschaffenen Ermächtigungen zu begegnen. Das Ministerium beruft sich darauf, dass die Neuregelungen nur die Aufzeichnungen beträfen. Es schließt daraus, dass der Gesetzgeber alle sonstigen Überwachungen ohne rechtliche Schranken frei zugelassen habe. Diese Sicht halte ich für falsch.
Die Verwaltungsvorschrift wäre hinsichtlich ihrer praktischen Auswirkungen verhängnisvoll. Die Gemeinden und die Polizeibehörden könnten, wenn die Deutung richtig wäre, alle Straßen und Plätze, alle öffentlichen Einrichtungen und Gebäude beliebig mit Videoüberwachungsanlagen "pflastern". Sie müssten nur unterlassen, Aufzeichnungsmaschinen anzukoppeln. Die Überwachung ganzer Innenstädte über Monitore wäre danach zulässig. Englische Verhältnisse wären die Folge.
Auch in rechtlicher Hinsicht ist die Interpretation nach meiner Einschätzung nicht haltbar. Das HSOG unterscheidet wie das Datenschutzrecht sehr genau zwischen Erhebung und Speicherung. Die Erhebungsregelung des § 13 HSOG muss daher auch auf Videoaufnahmen ohne Aufzeichnung angewandt werden. Zu welchem anderen Zweck als zur bewussten Wahrnehmung sollen Videosignale auf Monitore übertragen werden? Andere Länder begreifen Bildaufnahmen völlig selbstverständlich als Erhebung (z.B. Niedersachsen).
Das geltende Recht ist auf Videoeinrichtungen unzureichend zugeschnitten: Es lässt zu, dass Erhebungen aus allgemein zugänglichen Quellen stattfinden (§ 13 Abs. 1 Nr. 2
HSOG). Diese Ermächtigung öffnet Videoaufnahmen Tür und Tor. Wie der Landtag im Mai zum Ausdruck gebracht hat, dürfen sie aber nur zugelassen werden, soweit das der Abwehr von Gefahren dient. Ich habe deswegen für die nächste Novelle vorgeschlagen, § 13 hinsichtlich der Videoaufnahmen in diesem Punkt einzuschränken und möchte den Landtag an dieser Stelle bitten, dem Vorschlag zu folgen.
1. DNA – Analyse
Die Stellungnahme der Landesregierung zu den ohne gesetzliche Grundlage aufgrund von Einwilligungen vorgenommenen DNA-Analysen überzeugt nicht. Die Strafprozessordnung unterscheidet genau zwischen der Entnahme von Proben und deren späterer Untersuchung durch den Arzt. Nur für Probeentnahmen sieht die StPO in § 81a Abs. 1 Satz 2 vor, dass dies mit Einwilligung des Betroffenen geschehen könne. Für alle weiteren Maßnahmen ist eine richterliche Anordnung notwendig. Dass gerade bei Strafgefangenen von einer Freiwilligkeit der Einwilligung ausgegangen werden kann, ist höchst fragwürdig. Der Strafgefangene steht unter hohem sozialen Druck und wird sich in der Regel einer Einwilligung nicht entziehen können. Für eine richterliche Anordnung müsste zudem nachgewiesen sein, dass der Strafgefangene "wegen Art oder Ausführung der Tat, der Persönlichkeit des Beschuldigten oder sonstiger Erkenntnisse Grund zu der Annahme bietet, dass gegen ihn künftig erneut Strafverfahren ... zu führen" sein werden. Es ist kaum wahrscheinlich, dass irgend jemand eine solche Prognose über sich selbst freiwillig abgibt.
Ein Sonderproblem tritt auf, soweit DNA-Analysen gegen eine Vielzahl von Personen durchgeführt wird. Beispiele dieser Art haben bis zu 10.000 Personen erfasst. In diesen Fällen kann nicht jeder Einzelne als Beschuldigter geführt werden. Insoweit ist daher eine Sonderregelung erforderlich, die weder das DNA-Gesetz, noch § 81a StPO enthält.
2. Polizeiliche Speicherungen
Die Beibehaltung von HEPOLIS-Speicherungen ist problematisch, sofern Personen erfasst sind, die freigesprochen worden sind. Das HSOG sagt dazu nichts, sondern spricht von einem Verdacht, ohne zu sagen, wer ihn hegt. Eindeutig erscheint mir der Fall des Freispruchs wegen erwiesener Unschuld; hier ist immer zu tilgen. Weniger klar ist ein Freispruch aus Mangel an Beweisen. Hier kann ein Restverdacht fortbestehen; dennoch gilt auch hier: In dubio pro reo. Eine weitere Speicherung sollte daher unterbleiben. Nach Einstellung wegen Geringfügigkeit der Schuld müssen die Polizeibehörden stets prüfen, ob die weitere Speicherung wirklich erforderlich ist. Dazu bedarf es allerdings lückenloser Mitteilungen an die Polizeibehörden, die nach meinen Erfahrungen nicht immer zuverlässig erfolgen.
3. Polizeiliche Datenübermittlungen an Unternehmen
Die Frankfurter Polizei liefert gegen Gebühr Daten über die erfasste Personen in HEPOLIS an die Lufthansa-Cargo. An sich ist hier ein Überprüfungsverfahren durch das Wirtschaftsministerium nach § 29d LuftVG vorgesehen. Dieses findet aber nur am Anfang der Tätigkeit statt. Man kann bereits darüber streiten, ob das LuftVG insofern nicht abschließend ist. Lässt man zusätzlich polizeiliche Übermittlungen zu, so müssen diese die engen Grenzen des § 23 HSOG beachten:
4. Fußfessel – Modellversuch Frankfurt
Bislang sind zwar nur sehr wenige Fälle im Feldversuch Frankfurt (zwölf Personen). Dennoch müssen die rechtlichen Fragen sauber gestellt und beantwortet werden. Das Problem liegt darin, dass § 56c StGB den Kreis der richterlichen Weisungen genau umschreibt und die Fußfessel als solche nicht erwähnt. Die dauerhafte elektronische Verbindung mittels technischen Geräts ist mehr als die hin und wieder übliche Meldung bei Gericht oder Bewährungshelfer. - Erleichternd wirkt eine Fußfessel nur, wo sie an Stelle eines geschlossenen Vollzuges tritt. Das ist in Frankfurt nicht der Fall. Die dortige Handhabung wirkt verschärfend und bedürfte daher gesetzlicher Regelung. Die Rechtfertigung durch Einwilligung sieht das StGB nicht vor. Der Landtag sollte, wenn er den Feldversuch billigt, eine gesetzliche Ermächtigung dafür schaffen.
5. Technische Sicherheitsfragen
Insofern möchte ich mich auf Probleme beschränken, die auch bei Ihnen aufgetreten sind oder auftreten werden.
a) E-Mails
Besondere Probleme stellen sich immer wieder bei Anhängen zu E-Mails auf (zuletzt: I love you). Das Einschleusen von Makros oder Trojanischen Pferden ist nach neuesten Untersuchungen des LfD Hamburg sogar bei Firewalls möglich. Verschlüsselungsverfahren bieten insofern keine Abhilfe. - Besonders radikal, aber auch sicher ist die Lösung, die die Verwaltungsgerichtsbarkeit gefunden hat. Den Richtern wird ohne Ausnahme verboten, Anhänge von E-Mails am Arbeitsplatz zu öffnen. Da alle Formatierungen verloren gehen, wenn ein Dokument in Ascii-Fassung umgesetzt wird, ist die Verwendung von Anhängen besonders naheliegend. Gefahren werden sich nur vermeiden lassen, wenn derartige E-Mails nur auf einem Rechner geöffnet werden, der vom Netz abgehängt ist. Ich möchte auch dem Landtag empfehlen, entsprechend zu verfahren, soweit empfangene E-Mails nicht von bekannten und verlässlichen Absendern stammen.
30 Jahre Datenschutz in Hessen Rede des Hessischen Datenschutzbeauftragten Friedrich v. Zezschwitz anläßlich des Festaktes zum 30-jährigen Bestehen des Hessischen Datenschutzgesetzes am 9. Oktober 2000
Mit der informationellen Vernetzung sind auch die Gefahren gewachsen, die für alle Beteiligten entstanden sind. War es vor 30 Jahren vor allem die Furcht der Bürger und Unternehmen vor einem allmächtigen Staat, der als "Großer Bruder" die Privatsphäre durchdringt, so sind es heute alle Nutzer der elektronischen Medien, die ungeahnten Gefahren ausgesetzt sind. Ungeachtet dieser neuen, revolutionär zu nennenden Entwicklung verharrt das Datenschutzrecht in weniger begreiflicher Weise bei der ursprünglichen Vorstellung,
dass es vor allem der Staat sei, der in die Schranken zu weisen sei. Ich denke, dass
das 30-jährige Jubiläum des Hessischen Datenschutzgesetzes Anlass bieten sollte, über die kommenden Gefahren ebenso nachzudenken wie über die Erfolge in der Vergangenheit.
Der Blick in die Zukunft kann mitnichten die großen Verdienste schmälern, die sich meine Amtsvorgänger bei der Bewahrung der bürgerlichen Freiheiten gegenüber dem staatlichen Informationsmonopol erworben haben. Herr Birkelbach hatte die vermutlich schwerste Aufgabe: Er
musste das neue Denken in eine Verwaltung implementieren, die sich gerade anschickte, die technischen Potentiale auszukosten, die die EDV-Technik ihr eröffnete. Unter Herrn Simitis fand dann eine beispiellose Konsolidierung statt, von der der hessische Datenschutz bis heute zehren kann. Der von ihnen und meinen unmittelbaren Amtsvorgängern Hassemer und Hamm gewährleistete Schutz der Bürgerinnen, der Bürger und auch der Unternehmen wird weiterhin eine wichtige Agende bleiben. Die zunehmende Vernetzung steigert auch in der Verwaltung die Versuchung, die Daten auszutauschen, die bei den verschiedenen Behörden, etwa bei den Meldeämtern, den Finanzämtern, bei der Polizei, den Gemeinden und ihren Betrieben, den Schulen, Krankenkassen bis hin zu Einträgen in Flensburg, entstanden sind.
Eine ungezügelte Zusammenführung würde dem Staat oder anderen öffentlichen Stellen ein unerhörtes Potential eröffnen. Er könnte die Vielfalt persönlicher Verhaltensweisen, Bewegungsabläufe und die Vermögensverhältnisse ebenso wie den Gesundheitszustand zu jeder Zeit abzurufen. Ich vermute,
dass die relativ hohe Akzeptanz des Datenschutzes aus dem Bewusstsein zu erklären ist,
dass der Verlust der Privatsphäre ein zu hoher Preis wäre – ein Preis, dem jedenfalls deutlich höheres Gewicht zukäme als die Rechtfertigungslasten und die institutionellen Vorkehrungen, die der Datenschutz gebietet. Die zahlreichen Beschwerden der Bürgerinnen, der Bürger und der Unternehmen zeigen das bis heute. Daß die daraus erwachsenden Kontrollen meist auf hohe Akzeptanz in der Verwaltung stoßen, ist ein positives Zeichen für die entstandene Rechtskultur.
Dass die rasante Entwicklung der modernen Informationstechnologie durch die grundrechtliche Abschirmung für die Bürgerinnen, Bürger und Unternehmen nicht behindert worden, verdient hervorgehoben zu werden. Im Gegenteil, das hohe Vertrauen in den Datenschutz fördert die Bereitschaft, die modernen Telekommunikationsformen aufzugreifen und an ihren Fortschritten teilzunehmen.
Wirft man den Blick in die Zukunft, so ist sind es zunächst die institutionellen Vorkehrungen, die den dahin darbenden Datenschutz über die privaten Sektoren reformieren müssen. Ihm
muss nicht nur volle Unabhängigkeit von der allgemeinen Staatsverwaltung gegeben werden – wie es das Europarecht befiehlt. Auch sein Gewicht
muss deutlich verstärkt werden, um der künftig stärker in den Vordergrund tretenden präventiven Überwachung der Unternehmen wirklich gerecht werden zu können. Die Unternehmen repräsentieren gemeinhin eine Konfliktfähigkeit, die deutlich über die der Organe der staatlichen Binnensphäre hinausreicht. Ihr
muss der Staat ein ebenbürtiges Potential gegenüber stellen. Die norddeutschen Länder und jüngst auch Nordrhein-Westfalen haben das klar erkannt, indem sie allzuständige Instanzen geschaffen haben. Die Befürchtung,
dass sich hier ein ministerialfreier Raum etablieren könnte, wird den Realitäten nicht gerecht. Die Parlamentskontrolle kann sich gegenüber den Institutionen des Datenschutzes gemeinhin wirksamer entfalten als gegenüber den politisch sehr stabilen Regierungskoalitionen. Zur Steigerung der parlamentarischen Einbindung könnte man auch an eine Konstruktion denken, wie sie Rheinland-Pfalz seit vielen Jahren erfolgreich praktiziert: die Einrichtung einer Landtagskommission, die die Arbeit des Datenschutzes ständig begleitet und unlösbare Konfliktfälle in das Parlament trägt.
Ein weiteres Problem birgt der schnell ansteigende Einsatz der Chipkartentechnik. Nachdem Plastikkarten vor allem im Bankensektor "hoffähig" gemacht worden sind, sind die ursprünglich ernsten Vorbehalte gegen die Verwendung deutlich geschwunden. Sollte die interaktive Nutzung des Internets für die Abwicklung von Verwaltungsgeschäften zum Standard moderner Verwaltung werden, ist eine Erweiterung des Einsatzbereichs zu erwarten: Die Authenzität der handelnden Personen wie auch die elektronische Signatur werden in
praktisch handhabbarer Form nur über einen Chipkarteneinsatz gesichert werden können. Derzeit laufen Vorbereitungen, den heute verfügbaren Bankkarten eine Zusatzfunktion beizufügen, die die elektronische Signatur gestattet. Beim Einsatz von Chipkarten mit hoher Speicherdichte können umfassende Dokumentationen auf der Karte untergebracht werden. Derartige Chipkarten sind vom Bundesinnenministerium für Asylsuchende vorgeschlagen worden; ferner sind in der gesetzlichen Krankenversorgung gesetzliche Ermächtigungen für weitreichende Speicherungen geschaffen worden.
Vielen unter uns dürfte die Vorstellung unsympathisch sein,
dass die Plastikkarte in der Brief- oder Handtasche künftig wesentliche Lebens- und Verwaltungsdaten abbilden wird. Wer sich des Widerstandes gegen eine numerische Personenkennzeichnung erinnert, der bei der Einführung des Plastik-Personalausweises entflammte, der ist erstaunt, wie stark wir uns an den Umgang mit Chipkarten gewöhnt haben. Diese Gewöhnung darf allerdings nicht in Arglosigkeit umschlagen. Um die Verfügbarkeit der so gespeicherten Daten wie bisher in Grenzen zu legen,
muss die für den Datenschutz unabdingbare Segmentierung der Speicherinhalte auch bei den Chipkarten von vornherein eingeplant werden. Der Abruf wie auch die Anpassung von Speicherungen an die Daten der zentralen EDV dürfen nur den Ämtern oder den Unternehmen gestattet werden, durch die der ursprüngliche Speicherinhalt geschaffen worden war. Weitere Abrufe sind doch besondere PINs zu sperren. Die Inhaber der Karten müssen hingegen instand gesetzt werden, sich über alle Speicherinhalte Kenntnis verschaffen zu können. Zu diesem Zweck sind allgemein zugängliche Lesegeräte bereit zu halten. Nur so können die überkommenen Vorbehalte gegen die Plastikkarten in Grenzen gehalten werden.
Die Lösungsversuche für weitere reale Gefahren, die die Zukunft bringen wird, sind sehr viel komplexer. Eine Reihe von Problemen wird sich verfahrenstechnisch lösen lassen. So werden verdeckte oder offene Angriffe auf die eigenen Datenbestände, die mit subversiven Techniken von Dritten geführt werden, durch besondere Konfigurationen des eingesetzten Geräts und durch die Installation elektronischer Abschirmungen, insbesondere durch fire-walls abgewehrt werden können. Hinzu treten müssen die Verwendung von Verschlüsselungsverfahren hoher Dignität und elektronisch unterbrochene Kommunikationsstränge. Die so geschaffene Verfahrenssicherheit wird allerdings keine vollkommene Sicherheit erzeugen können, da die Verfahren der Abschirmung ihrer Natur nach nicht geheim sein können. Perfider Erfindungsreichtum entfaltet sich immer wieder beim Schreiben von Makros, trojanischen Pferden und anderen zerstörerischen Programmen. Das Märchen vom Wettlauf des Hasen und des Igels wird die elektronische Welt insofern auch künftig bestimmen.
Das eigentliche Problem stellt dabei nicht die traditionelle Gefahr unzulässiger Ausforschung der Datenbestände dar. Viel gefährlicher sind die von außen geführten Angriffe, die sich die unbefugte Veränderung der aufgebauten Datenbestände zum Ziel gesetzt haben. Diese Flanke öffnet sich mit der Einführung interaktiver Kommunikationsformen zwischen den öffentlichen Anbietern und den servicesuchenden Bürgern und Unternehmen viel stärker, als das bei den herkömmlichen Informationsangeboten der Fall ist. Die derzeit schnell vorwärts preschenden Techniken des e-government werden daher neue verfahrenstechnische, aber auch neue datenschutzrechtliche Anforderungen erzeugen. Ich habe mir
bewusst eine deutliche Verstärkung der technisch-informationellen Kapazitäten zum Ziel gesetzt, um den Hessischen Datenschutz für die Anforderungen der Zukunft zu wappnen. Ich bin dem Finanzministerium und dem Landtag sehr dankbar,
dass diese Neustrukturierung trotz knapper Kassen ein offenes Ohr gefunden hat.
Neben diese verfahrenstechnischen Abschirmungen treten neue Phänomene, die mit dem grenzüberschreitenden Aufbau des Internet einhergehen. Der Begehungsort von Straftaten ist nicht mehr mit dem Zielort identisch – wie die in den USA und Dänemark produzierten nationalsozialistischen Pamphlete im Internet deutlich zeigen. Sie entziehen sich dadurch der strafrechtlichen Sanktion, solange keine internationalen Vereinbarungen getroffen werden können, die einen weltweiten Verfolgungszwang schaffen. Das bei rechtswidrigen Veröffentlichungen häufig anonyme Auftreten – mag es sich um die unbefugte Publikation urheberrechtlich geschützter Werke oder Anleitungen zu rechtwidrigen Tun handeln – fordert hohe Kapazitäten, um die Übertragungswege trotz Verschleierungsabsicht nachvollziehen zu können. Die datenschutzrechtliche Kehrseite solcher Aufzeichnungen ist allerdings unverkennbar – erlauben die entstehenden Protokolldaten doch, alle Kommunikationswege nachzuzeichnen, die der jeweiligen Nutzer gegangen ist. Es wird nicht einfach sein, den Weg zwischen der Skylla sanktionsbewehrter Aufklärung und der Charybdis darnieder gehenden Datenschutzes zu finden. Die meisten der beschriebenen Herausforderungen für den Datenschutz waren vor wenigen Jahren noch unbekannt. Weitere treten hinzu – wie etwa die Videoüberwachung mit automatischen Erkennungssystemen, die elektronische Fußfessel als neue Strafe und die um Potenzen steigerbare Selektivität in der telekommunikativen Überwachung.
Auch wenn die technische Revolution eine überaus schnelle Gangart genommen hat, wäre es falsch zu resignieren. Im Gegenteil, ich bin sicher,
dass wir die neu aufflackernden Angriffe auf die Privatsphäre in der gleichen Weise werden meistern können wie die zahlreichen Probleme der Vergangenheit. Dazu bedarf es allerdings des
Bewusstseins, daß eine ständige Anpassung der gesetzlichen wie auch der institutionellen Instrumente notwendig ist und bleibt.
Ich hoffe und bin sicher, dass Hessen darin auch in Zukunft vorn bleiben wird!
30 Jahre Datenschutz in Hessen
Auf Einladung des Präsidenten des Hessischen Landtags Klaus PeterMöller und des Hessischen Ministerpräsidenten Roland Koch wird heute das dreißigjährige Jubiläum des Hessischen Datenschutzgesetzes mit einem Festakt im Hessischen Landtag begangen.
Der amtierende Hessische Datenschutzbeauftragte, Professor Dr. Friedrich v. Zezschwitz und der langjährige frühere Hessische Datenschutzbeauftragte, Professor Dr. Spiros Simitis nehmen diese Feierstunde zum Anlass, eine aktuelle Bestandsaufnahme vorzunehmen und insbesondere zu hinterfragen, wie ein moderner Datenschutz ausgestaltet sein muss, um den neuen technischen Herausforderungen begegnen zu können.
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder kritisiert in einer Entschließung vom 26. Juni 2000 den ersten Bericht der Bundesregierung zum Einsatz technischer Mittel zur akustischen Überwachung von Wohnungen für Zwecke der Strafverfolgung im Jahre 1998 (sog. Großer Lauschangriff). "Der Bericht gewährleistet keine effektive parlamentarische Kontrolle. Wesentliche Informationen, die wertende Aussagen zur Effizienz der Maßnahmen und zur Intensität der damit verbundenen Grundrechtseingriffe ermöglichen, fehlen", sagte der Hessische Datenschutzbeauftragte, Professor Dr. Friedrich von Zezschwitz.
Artikel 13 Abs. 6 des Grundgesetzes schreibt vor, dass die Bundesregierung den Bundestag jährlich über den Einsatz technischer Abhörmittel zur Wohnraumüberwachung unterrichtet. Ein vom Bundestag gewähltes Gremium übt auf der Grundlage dieses Berichts die parlamentarische Kontrolle aus. Dabei prüft es nicht die Rechtmäßigkeit jeder einzelnen Überwachungsmaßnahme, sondern die Normeffizienz der gesetzlichen Regelungen. Diese ist vor allem an der Frage zu messen, ob die Überwachungsmaßnahmen die Strafverfolgung verbessern und die damit verbundenen Grundrechtseingriffe – gemessen an diesem Erfolg – verhältnismäßig erscheinen. Weiteres Kriterium ist, ob die gesetzgeberischen Maßnahmen zur Sicherung der Grundrechte ihre Wirkung entfalten. Eine darauf gerichtete Analyse ist aber nur möglich, wenn der Bericht der Bundesregierung die Anzahl aller von einer Überwachungsmaßnahme erfassten Personen nennt. Jede Person, deren gesprochenes Wort in der Wohnung abgehört wird, wird in ihren Grundrechten beeinträchtigt, nicht lediglich der Wohnungsinhaber oder Beschuldigte, gegen den sich das Strafverfahren richtet. Der Bericht der Bundesregierung sollte nach Auffassung der Datenschutzbeauftragten außerdem Angaben enthalten zu der Anzahl der abgehörten Gespräche, zur Art der betroffenen Räume (Wohnung, Geschäfts- oder sonstige Räume), zur Zahl und Dauer der angeordneten Verlängerungen der Maßnahme sowie zur Zahl der Verhaftungen, Anklageerhebungen und Verurteilungen, zu denen die Maßnahme beigetragen hat. Die Datenschutzbeauftragten fordern die Bundesregierung auf, die Berichte künftig zu ergänzen, um eine wirksame parlamentarische Kontrolle der besonders intensiven Eingriffe in die räumliche Schutzsphäre des Einzelnen zu gewährleisten.Der Hessische Datenschutzbeauftragte, Professor Dr. Friedrich v. Zezschwitz, hat den ersten Tätigkeitsbericht seiner Amtszeit für das Jahr 1999 vorgelegt.
Der Bericht dokumentiert wichtige Aktivitäten zu Gesetzesvorhaben mit datenschutzrechtlichem Bezug, Prüfungen zu Einzelfragen im Umgang mit personenbezogenen Daten der Bürgerinnen und Bürger durch die öffentlichen Stellen des Landes Hessen bis hin zu praktischen Hinweisen zur sicheren Nutzung moderner Informationstechnologien.
I. Gesetzgebung:
Novelle des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung
Das wichtigste Gesetzgebungsvorhaben im Berichtszeitraum war aus Sicht des Hessischen Datenschutzbeauftragten die Novelle zum Hessischen Gesetz über die öffentliche Sicherheit und Ordnung, mit der die Kontroll- und Überwachungsbefugnisse der Polizeibehörden erheblich ausgeweitet werden.
Kernpunkte der Novellierung sind:
Nicht alle beabsichtigten Maßnahmen waren bzw. sind aus Sicht des Datenschutzes unbedenklich. So sah der Erstentwurf als einzige Voraussetzung für den Einsatz von Videoüberwachungsmaßnahmen vor, dass dies zur Erfüllung polizeilicher Aufgaben erfolge. Da Professor von Zezschwitz frühzeitig in die Beratungen mit einbezogen worden war, konnte er seine verfassungsrechtlichen Bedenken gegen eine so weite Ermächtigungsnorm geltend machen. Inzwischen sollen an öffentlichen Orten nur offene Bildaufzeichnungen durch die Polizei und nur zur Abwehr einer konkreten Gefahr oder wenn tatsächliche Anhaltspunkte die Annahme rechtfertigen, dass Straftaten drohen, möglich sein. Eine in der Zwischenzeit beabsichtigte Erweiterung dieser Befugnisse auch für die allgemeinen Gefahrenabwehrbehörden scheint nun nicht mehr zur Diskussion zu stehen. Vielmehr ist der Vorschlag von Prof. v. Zezschwitz aufgegriffen worden, den Ordnungsbehörden eine Ermächtigung für Bildaufzeichnungen nur dann zuzubilligen, wenn an einem Ort gehäuft Straftaten begangen wurden und tatsächliche Anhaltspunkte bestehen, dass weitere Straftaten begangen werden.
Insoweit sind die verfassungsrechtlichen Bedenken des Hessischen Datenschutzbeauftragten, was die Ermächtigung zur Videoüberwachung durch Polizeibehörden und andere Gefahrenabwehrbehörden anbelangt, im Wesentlichen ausgeräumt. Zur Praxis der Videoüberwachung in Hessen hat der Hessische Datenschutzbeauftragte im Spätherbst eine Umfrage bei den hessischen Gemeinden und den Polizeipräsidien veranstaltet, durch die rund 450 Überwachungsanlagen mit unterschiedlichster Zwecksetzung ermittelt worden sind (Rücklauf bislang 92 %).
Auf Kritik des Hessischen Datenschutzbeauftragten stieß die zunächst fast voraussetzungslose Einführung der Schleierfahndung. Ein Eingriff in die Freiheit, sich unüberwacht bewegen zu können, der noch dazu alle Bürgerinnen und Bürger treffen kann, verlangt besonders hohe Legitimationsanforderungen. Diese Anforderungen wurden allein mit der Aussage "zur vorbeugenden Bekämpfung der grenzüberschreitenden Kriminalität" keineswegs erfüllt. Professor von Zezschwitz hatte deshalb gefordert, dass nur wegen bestimmter schwerer Straftaten die Schleierfahndung überhaupt angeordnet werden dürfe und dass vor einer solchen Maßnahme stets eine Lagebeurteilung erfolgen müsse, deren Ergebnis schriftlich zu fixieren ist. Diese Anforderungen sollten sich eindeutig aus dem Gesetz ergeben. Der jüngste Gesetzentwurf sieht nun entsprechende Lagebeurteilungen vor; allerdings fehlt noch immer ein eindeutig formulierter Straftatenkatalog. Der Forderung, Durchsuchungen im Rahmen der Schleierfahndungen zu limitieren, wird dieser Entwurf ebenfalls gerecht.
Die beabsichtigte Streichung der Benachrichtigungspflicht bei längerfristiger Datenspeicherung in automatisierten Dateien erscheint aus Sicht des Hessischen Datenschutzbeauftragten nicht gerechtfertigt. Häufig wurde den Betroffenen erst durch die Benachrichtigung
bewusst, dass noch Daten über sie in polizeilichen Dateien gespeichert waren. In einer großen Anzahl von Fällen hat die Nachfrage der Betroffenen dann zu einer Löschung der Speicherung geführt. Die Verpflichtung zur Benachrichtigung bei einer Speicherdauer von mehr als drei Jahren zwingt die Polizeibehörden im übrigen zur Überprüfung, ob die Daten überhaupt noch benötigt werden. Darauf sollte keinesfalls verzichtet werden.
II. Verwaltung
Im Zuge der Privatisierung öffentlicher Aufgaben wirft die Vergabe von EDV-Dienstleistungen an Stellen außerhalb der Verwaltung besondere Probleme auf. Der Kreis der Mitwisser wird immer größer, die Geheimhaltung vertraulicher Daten immer schwieriger. Diese Feststellung hat den Hessischen Datenschutzbeauftragten veranlasst, einen Mustervertrag zu entwickeln, der den entstandenen Gefahren vorbeugen soll (abrufbar unter: www.datenschutz.hessen.de ).
III. Einzelfälle
Polizeiliche Datenspeicherung trotz Freispruch
Wie wichtig die Beibehaltung der oben angesprochenen Benachrichtigung über längerfristige Datenspeicherung bei der Polizei ist, konnte der Hessische Datenschutzbeauftragte ganz konkret erfahren. Informiert durch die Benachrichtigung beantragte ein Bürger die Löschung der zu seiner Person gespeicherten Daten. Nachdem dies zunächst erfolglos blieb, bat er den Hessischen Datenschutzbeauftragten um Hilfe. Es stellte sich heraus, dass gegen diesen Bürger zweimal ermittelt worden war. Im ersten Fall kam es zu einem Gerichtsverfahren, das wegen Ausräumung aller Verdachtsmomente mit einem Freispruch endete. Die Staatsanwaltschaft teilte dies der Polizei mit. Statt die Daten des Betroffenen zu löschen, nahm sie die Mitteilung über den Freispruch lediglich zur Akte. Bei Ausräumung jeglichen Tatverdachts war die Rechtsgrundlage zu einer weiteren personenbezogenen Datenspeicherung jedoch entfallen.
Im zweiten Fall wurde das Verfahren gegen den Betroffenen wegen Geringfügigkeit eingestellt. Da aber aus dem vorgenannten Verfahren noch Informationen im polizeilichen Informationssystem waren, ging die Polizei davon aus, dass der Betroffene weitere Straftaten begehen könnte und nahm entsprechende Informationen in das polizeiliche Informationssystem auf. Erst auf Grund der Benachrichtigung des Betroffenen kam es überhaupt zu einer Überprüfung der Datenspeicherung. Auf Intervention des Hessischen Datenschutzbeauftragten wurden sämtliche Daten gelöscht und die Kriminalakte vernichtet, da sämtliche Unterlagen für die Aufgabenerfüllung der Polizei nicht mehr erforderlich waren.
Smart-Card für Asylbewerber
Eine vom Bundesinnenministerium in Auftrag gegebene Studie sieht den obligatorischen Einsatz einer Smart-Card für Asylbewerber in einer Fülle von Anwendungsbereichen vor. Einzelne Bundesländer haben die Einführung dieser Karte bereits angekündigt. Der Hessische Datenschutzbeauftragte hat gegenüber dem Hessischen Minister des Innern eine ausführliche Stellungnahme abgegeben und dabei von einer Realisierung des Einsatzes einer Smart-Card mit umfassender Speicherung aller persönlichen und sozialen Daten dringend abgeraten.
Die mit einem Fingerabdruck ausgestattete Chipkarte soll nicht nur als Identitätsnachweis und Nachweis des Aufenthaltsstatus, sondern auch im Meldewesen, beim Zugang zum Arbeitsmarkt, bei der Gewährung und Kontrolle des Sozialleistungsbezugs und als Krankenschein eingesetzt werden. Die Polizeibehörden und der Bundesgrenzschutz sollen Zugriff auf die Karte erhalten. Dabei bleibt offen, welchen Verwaltungsbehörden zu welchen Zwecken, unter welchen Voraussetzungen und in welchem Umfang gerade in diesem sensiblen Bereich ein Zugriff eingeräumt werden soll. Professor von Zezschwitz weist darauf hin, dass die Fülle der auf der Chipkarte zusammengefassten Informationen die Möglichkeit eröffnet, verfassungsrechtlich unzulässige Persönlichkeitsprofile zu erstellen. Angesichts des großen Kreises der eingebenden und abrufenden Behörden ist dringend erforderlich, dass technische Zugriffssicherungen vorgesehen werden. Für keine andere Bevölkerungsgruppe bestehe die Verpflichtung, eine derart multifunktionale Chipkarte bei sich zu führen und zum Zugriff bereit zu halten. Über die schon existierenden Instrumente zur Kontrolle und Überwachung von Ausländern hinaus, wie sie mit dem Ausländerzentralregister oder dem automatisierten Fingerabdruckidentifizierungssystem beim Bundeskriminalamt bestehen, werde für die Gruppe der Asylbewerber ein weiterer einschneidender und mit dem Gleichheitssatz kaum vereinbarer Schritt unternommen. Kampf gegen vermutete mangelhafte Meldemoral Der Oberbürgermeister einer hessischen Universitätsstadt stellte durch Auswertung der Bevölkerungsstatistik fest, dass nicht alle in der Stadt wohnenden Einwohnerinnen und Einwohner im Melderegister erfasst sind. Er vermutete mangelhafte Meldemoral vor allem unter den Studierenden. In bestimmtem Wohngebieten war die Einwohnerzahl gesunken, ohne dass ein Wohnungsleerstand zu verzeichnen war. Ein städtischer Mitarbeiter wurde beauftragt, die an Brief- und Klingelanlagen vermerkten Namen aufzunehmen. Die erfassten Daten wurden dann mit denen des Melderegisters abgeglichen. Nichtgemeldete Personen wurden gebeten, sich mit der Meldestelle in Verbindung zu setzen. Der Hessische Datenschutzbeauftragte hat die Datenerhebung für datenschutzrechtlich unzulässig erachtet, da das Meldegesetz einen derartigen Abgleich nicht gestattet. Nach Datenschutzrecht sind die Daten der Meldepflichtigen bei ihnen direkt zu erheben. Eine flächendeckende Erhebung personenbezogener Daten, ohne dass die Betroffenen davon Kenntnis haben, ist nach dem Hessischen Meldegesetz nicht zugelassen. Die Stadt wurde auf die rechtliche Möglichkeit verwiesen, die Vermieter zu befragen. Auch wenn Professor von Zezschwitz durchaus Verständnis dafür äußerte, dass der Oberbürgermeister wegen zu erwartender Nachteile im Finanzausgleich den Wunsch nach einem vollständigen Melderegister hat, so wies er doch zugleich darauf hin, dass das Melderecht nicht das geeignete Instrumentarium dafür ist, Probleme des Finanzausgleichs zu regeln. Auch Stadtverordnete genießen Grundrechtsschutz In einer Stadtverordnetensitzung wurde über die schrittweise Abschaffung der Grundwasserabgabe in Hessen diskutiert. In diesem Zusammenhang kamen auch die Wassereinsparprojekte der Stadt kontrovers zur Sprache. Bürgerinnen und Bürgern sind seinerzeit Regenwassertonnen kostenlos zur Verfügung gestellt worden. Ein Kritiker des Konzepts aus den Reihen der OppositionIV. Hinweise zur sicheren Nutzung moderner Informationstechnologien
Fallstricke bei der Nutzung von E-Mail Die Elektronische Post ist eine der meist genutzten Anwendungen neuer Kommunikationstechniken. Sie erlaubt es, schneller und komfortabler als mit den klassischen Verfahren, wie Briefpost oder Telefax, Nachrichten und andere Dokumente zu übermitteln und direkt am Arbeitsplatz ohne Medienbruch weiter zu verarbeiten. Diesen gern genutzten Vorteilen stehen jedoch auch nicht zu unterschätzende datenschutzrechtliche Risiken gegenüber. Nur schlagwortartig und exemplarisch seien an dieser Stelle einige dieser Risiken genannt:Der Hessische Datenschutzbeauftragte, Prof. Dr. Friedrich von Zezschwitz, erklärt gemeinsam mit seinen Kollegen aus Baden-Württemberg, Bayern, Berlin, Brandenburg, Mecklenburg-Vorpommern, Nordrhein-Westfalen, Saarland, Sachsen-Anhalt und Schleswig-Holstein:
"Weitere Verwässerung des Datenschutzes bei der Strafverfolgung ist unerträglich"
Jahrelang hat es der Gesetzgeber versäumt, für die hochsensiblen personenbezogenen Informationen in Strafverfahren Datenschutzregelungen zu verabschieden - ein nach Meinung aller Datenschutzbeauftragter unhaltbarer Zustand. Mehrere Entwürfe eines "Strafverfahrensänderungsgesetzes"Die Einführung einer Smart-Card für alle Asylbewerber stößt nach Auffassung des Hessischen Datenschutzbeauftragten, Prof. Dr. Friedrich von Zezschwitz, auf erhebliche rechtsstaatliche Bedenken. Eine vom Bundesministerium des Innern in Auftrag gegebene Studie sieht den obligatorischen Einsatz der Chipkarte in einer Fülle von Anwendungsbereichen vor. Das Land Hessen prüft derzeit, ob die Smart-Card realisiert werden soll.Die mit einem Fingerabdruck ausgestattete Chipkarte soll nicht nur als Identitätsnachweis und Nachweis des Aufenthaltsstatus, sondern auch im Meldewesen, beim Zugang zum Arbeitsmarkt, bei der Gewährung und Kontrolle des Sozialleistungsbezugs und als Krankenschein eingesetzt werden. Die Polizeibehörden und der Bundesgrenzschutz sollen Zugriff auf die Karte erhalten.
Der Hessische Datenschutzbeauftragte weist darauf hin, dass die Fülle der auf der Chipkarte zusammengefassten Informationen die Möglichkeit eröffnet, verfassungsrechtlich unzulässige Persönlichkeitsprofile zu erstellen. Angesichts des großen Kreises der eingebenden und abrufenden Behörden bestehe die Gefahr, dass technische Zugriffssicherungen versagen.
Für keine andere Bevölkerungsgruppe bestehe die Verpflichtung, eine derart multifunktionale Chipkarte bei sich zu führen und zum Zugriff bereit zu halten. Über die schon existierenden Instrumente zur Kontrolle und Überwachung von Ausländern hinaus, wie sie mit dem Ausländerzentralregister oder dem automatisierten Fingerabdruckidentifizierungssystem beim Bundeskriminalamt bestehen, werde für die Gruppe der Asylbewerber ein weiterer einschneidender und mit dem Gleichheitssatz kaum vereinbarer Schritt unternommen.
Der Hessische Datenschutzbeauftragte rät deshalb dringend von einer Realisierung des Einsatzes in dem von der Studie vorgesehenen Umfang ab.
Keine Meldedaten für die Briefaktion der CDU
gegen die Rentenpläne der Bundesregierung
Zu den wichtigsten Aufgabe eines Parlaments gehört es, durch Gesetze und durch Kontrolle der Regierung den Grundrechten der Menschen Geltung zu verschaffen. Das Grundrecht auf freie Entfaltung und Selbstbestimmung der Persönlichkeit hat in unserer Verfassung einen so hohen Rang, dass der Hessische Landtag im Jahre 1970 gemeint hat, den Gefährdungen dieses Grundrechts durch die moderne Datenverarbeitung mit einem eigenen Gesetz und einer neuen Institution begegnen zu sollen: einem Amtsträger, der nicht zur Legislative, nicht zur Exekutive und nicht zur Judikative gehört und nicht einmal Beamter zu sein braucht.
Der Einzug der informationshungrigen EDV in die Verwaltung hatte damals einen Stand erreicht, der befürchten ließ, daß die Computer immer mündiger und die Bürger immer unmündiger werden. Die Vorsorge gegen eine solche Entwicklung wollte man aus guten Gründen nicht der Landesregierung und der ihr nachgeordneten Verwaltung überlassen. Da das Parlament diese Arbeit aber auch nicht selbst leisten kann, haben die Abgeordneten sich die Pflicht auferlegt, einen Datenschutzbeauftragten zu wählen, der völlig unabhängig ist und dessen Auftrag lautet, die Interessen der Bürgerinnen und Bürger gegenüber allen datenverarbeitenden öffentlichen Stellen zu vertreten - also so etwas wie ein öffentlich bestellter Anwalt.
In den 29 Jahren seit dem Inkrafttreten des ersten Datenschutzgesetzes hat es in Hessen vier solche Landesbeauftragte gegeben. Im Durchschnitt waren wir sieben Jahre und drei Monate im Amt. Meine Amtszeit von 3 Jahren und einem Monat hat diesen Durchschnittswert so nach unten gedrückt wie die 16-jährige Amtszeit meines Vorvorgängers Simitis ihn erhöht hat. Im Interesse meines Nachfolgers mache ich nicht den heiklen Versuch, diesen Unterschied mit der gewagten Parallele zu erklären, dass heute ja auch die Computer sehr viel schneller veralten als zur Zeit von Herrn Simitis.
Ob ich in der relativ kurzen Amtszeit meinen Auftrag so ausgeführt habe, wie mein Auftraggeber - der hessische Landtag - ihn verstanden wissen wollte, weiß ich nicht. Überaus freundliche Worte von Mitgliedern der früheren und der jetzigen Landesregierung, von Mitgliedern des letzten und des jetzigen Landesparlaments lassen mich hoffen, dass man einigermaßen mit meiner Arbeit zufrieden war. Wenn das so wäre, dann gilt das Lob nicht nur mir. Denn ohne die sachkundige und engagierte Unterstützung durch die Mitarbeiterinnen und Mitarbeiter meiner Dienststelle, wäre ich - zumal als "Rechtsanwalt im Nebenamt" - nicht in der Lage gewesen, das zu leisten, was in drei umfangreichen Tätigkeitsberichten dokumentiert ist. Die gute Zusammenarbeit, für die ich mich auch an dieser Stelle bedanke, beruhte auf einem Grundkonsens über die Möglichkeiten und Grenzen unseres Handelns. Dass Datenschutz die Verwaltung nicht in ihrer jeweiligen Aufgabenerfüllung behindern darf, wohl aber in unnötiger und ungesetzlicher Verarbeitung personaler Informationen, brauchte ich den Bediensteten nicht zu sagen. Dass Datenschutz walten muss und nicht selbst verwaltet werden darf, war eine Art Leitmotiv in den regelmäßigen wöchentlichen Besprechung mit allen Mitarbeiterinnen und Mitarbeitern aber auch in den Einzelgesprächen mit Referenten und Sachbearbeitern. Und ich bin sicher, dass diese Grundeinstellung auch in den von uns kontrollierten Ämtern empfunden wurde.
Anders wäre es nicht zu erklären, dass die dienstlichen Begegnungen zwischen der hessischen Staatsverwaltung und dem Büro des hessischen Datenschutzbeauftragten weitgehend konfliktfrei, konstruktiv und kooperativ verlaufen sind und dass dabei doch meist am Ende die datenschutzfreundlichste aller praktikablen Lösungen erarbeitet wurde. Dies wiederum setzt voraus und beruht darauf, dass in den Ressorts der hessischen Landesregierung die oberste Landesbehörde hessischer Datenschutzbeauftragter trotz oder vielleicht sogar gerade wegen ihrer gleichsam schwebenden Existenz im ministerialfreien Raum stets als Gesprächspartner gesucht, akzeptiert und nach meinem Eindruck auch respektiert wird. Dafür gebührt Ihnen, meine Damen und Herren Mitglieder der hessischen Landesregierung, aber auch Ihren Amtsvorgängerinnen und Amtsvorgängern mein wie stets überparteilicher aber umso herzlicherer Dank.
Ihnen, Herr Präsident Möller, und Ihnen meine Damen und Herren Abgeordneten für die Art und Weise, in der Sie dem Thema Datenschutz Ihr Interesse und Ihre parlamentarische Aufmerksamkeit gewidmet haben.
Nach § 31 des Hessischen Datenschutzgesetzes ist dem Hessischen Datenschutzbeauftragten vom Präsidenten des Hessischen Landtages die zur Erfüllung seiner Aufgaben notwendige Personal- und Sachausstattung zur Verfügung zu stellen. In Zeiten, in denen die Datenströme immer schneller und breiter, die Geldströme aber kaum noch fließen, ist die Erfüllung dieser Pflicht keine leichte Aufgabe. Ich habe gelernt, dass überall dort, wo das Recht der öffentlichen Haushalte gilt, die "erforderlichen Mitteln" sich zu den "Mitteln für das Erforderliche" irgendwie anders verhalten als in der freien Wirtschaft und in einem Anwaltsbüro. In Gesprächen mit Ihnen, verehrter Herr Präsident Möller, musste ich manchmal einsehen, dass für das eigentlich benötigte zusätzliche Personal das Geld fehlt. Sie haben aber auch Verständnis dafür aufgebracht, wenn ich wenigstens einen Personalabbau verhindert sehen wollte, weil der Grundrechtsschutz keine Abstriche verträgt und durchaus bei genauerem Hinsehen sogar ein ökonomischer Zusammenhang zwischen unseren Erfolgen bei der Herstellung von "Datensparsamkeit" und den Geboten der Haushaltssparsamkeit wahrzunehmen ist. Dieser Zusammenhang wird manchen überraschen, der sich daran gewöhnt hat, dass Computer immer billiger werden und immer mehr können. Aber eine preiswerte EDV-Anlagen kann wertlos werden, wenn sich nachträglich herausstellt, dass sie eine verschwenderische und damit gesetzwidrige Verarbeitung personenbezogener Daten begünstigt. Können schon im Zuge der Vorabkontrolle Mitarbeiter des Datenschutzbeauftragten daran mitwirken, dass solche Fehlinvestitionen unterbleiben, nützt das dem Datenschutz und dem Fiskus gleichermaßen.
Ihnen, meine Damen und Herren Abgeordneten, danke ich für die stets sachliche Zusammenarbeit bei der parlamentarischen Bearbeitung unserer Tätigkeitsberichte im zuständigen Ausschuss und im Plenum, insbesondere aber auch dafür, dass wir es in der letzten Legislaturperiode geschafft haben, als erstes und einziges Bundesland die Europäische Datenschutzrichtlinie fristgerecht umzusetzen und ein neues, ihr entsprechendes Hessisches Datenschutzgesetz zu verabschieden.
Den mir erteilten Auftrag gebe ich Ihnen hiermit - dem Gesetz folgend - zurück und bitte Sie, ihn in die Hände eines Nachfolgers zu legen, der die Arbeit von Herrn Birkelbach, Herrn Simitis, Herrn Hassemer und mir im Interesse der Menschen fortführt, die Ihnen das Mandat gegeben haben, uns für die Dauer einer Wahlperiode zu wählen. Aber auch im Interesse derjenigen, die in Hessen zwar in Computern und Akten, nicht aber in den Wählerverzeichnissen erfasst sind.
Meinem Nachfolger wünsche ich, dass ihm die neue Aufgabe so viel Freude macht wie sie mir gemacht hat und dass er nach vier Jahren die Lust und Zeit hat, sich für eine Wiederwahl zur Verfügung zu stellen. An der Lust hätte es auch bei mir nicht gefehlt.
Zum zweiten Mal in diesem Jahr haben sich die Datenschutzbeauftragten des Bundes und der Länder in Wiesbaden zu ihrer Konferenz getroffen. Zum Abschluss stellte der Hessische Datenschutzbeauftragte, Professor Dr. Rainer Hamm, der in diesem Jahr den Vorsitz der Konferenz hat, die Ergebnisse der Tagung der Presse vor.
Die Tagesordnung enthielt ein breites Spektrum von Themen, wie etwa die Sicherstellung der unabhängigen Kontrolle von EUROPOL, die Prüfungskompetenzen der Datenschutzbeauftragten bei der Justiz, die Weitergabe von Meldedaten an politische Parteien und Adressbuchverlage und die Notwendigkeit der grundlegenden Reform der Datenschutzgesetzgebung durch Schaffung eines Informationsgesetzbuches.
Herauszuheben sind insbesondere die folgenden Themen:
Professor Dr. Rainer Hamm zu den Beschlüssen des 62. Deutschen Juristentages in Bremen
Die Beschlüsse der Abteilung Öffentliches Recht des 62. Deutschen Juristentages Bremen 1998
Die Landesbeauftragten für den Datenschutz der Länder Baden-Württemberg, Bayern, Berlin, Brandenburg, Bremen, Hamburg, Hessen, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Sachsen-Anhalt, und Schleswig-Holstein erklären:
Sozialgeheimnis wird zur Farce
Oder: Von Einem der auszog,
Medizinprodukte mit der Aushöhlung des Sozialgeheimnisses zu mixen
Unter dem irreführenden Titel "Änderung des Medizinproduktegesetzes" hat der Deutsche Bundestag am 18.06.1998 das Sozialgeheimnis weiter ausgehöhlt. In Abkehr vom Grundsatz des Schutzes der Sozialdaten
lässt der geänderte § 68 des Zehnten Sozialgesetzbuches weit gefasste Auskünfte an unterschiedlichste Behörden zu.
Das bedeutet, dass beispielsweise Jugendämter, Arbeitsämter, Gesetzliche Krankenkassen, Berufsgenossenschaften, Versorgungsämter, Sozialämter den Behörden Auskunft über die momentane Anwesenheit oder über zukünftige Vorsprachetermine Ratsuchender ohne die sonst gesetzlich vorgeschriebene richterliche Anordnung geben müssen.
Damit werden die Bediensteten der Leistungsträger zu "Hilfsbeamten" von Strafverfolgungs- und Vollstreckungsbehörden. Das Vertrauensverhältnis von Sozialarbeiterinnen und Sozialarbeitern, Jugendämtern, Krankenkassen, Bafög-Ämtern, Versicherungsanstalten u.ä. zu ihren Klientinnen und Klienten wird gestört. Ratsuchende müssen damit rechnen, dass ihre Besuchstermine weitergegeben werden, z.B. an die Polizei, Staatsanwaltschaften und sogar an Behörden, die Ansprüche über 1000,-- DM durchsetzen wollen.
Diese Aufgabenveränderung der Sozialleistungsträger ist eine grundlegende Durchbrechung des Sozialgeheimnisses. Die gravierenden Verschlechterungen für die Betroffenen werden zudem als Schnellschuss unter dem Deckmantel des Medizinproduktegesetzes und ohne Beteiligung der sachlich betroffenen Ausschüsse für Arbeit und Sozialordnung sowie des Innen- und Rechtsausschusses des Deutschen Bundestages eingeführt.
Die Landesregierungen werden dringend gebeten, die Einschränkung des Sozialdatenschutzes am 10.07.1998 im Bundesrat zu verhindern.
Die Einführung der sogenannten Schleierfahndungbegegnet nach Auffassung des Hessischen Datenschutzbeauftragten, Professor Dr. Rainer Hamm, erheblichen rechtsstaatlichen Bedenken. Schleierfahndung bedeutet, dass alle Bürgerinnen und Bürger jederzeit damit rechnen müssen, in eine Ausweiskontrolle zu geraten, ohne dass die Polizei aufgrund bestimmter Verdachtsmomente tätig wird.
Die Zulassung dieser verdachtsunabhängigen Fahndung ist stets mit einem Eingriff in die Freiheitsrechte der Bürgerinnen und Bürger verbunden, der nicht nur - wie im Falle von Autobahnsperren zu diesem Zweck - zu erheblichen Beschränkungen der Bewegungsfreiheit führen kann, sondern auch das Recht auf informationelle Selbstbestimmung verletzt. Es gehört zu den Prinzipen eines Rechtsstaats,
dass sich seine Bürger, ohne von der Polizei behelligt zu werden, frei bewegen können. Die jederzeitige Kontrollmöglichkeit der Bürgerinnen und Bürger, gegen die nichts weiter vorliegt als
dass sie sich auf bestimmten Verkehrswegen aufhalten, kommt den lückenlosen Überwachungsmethoden von Polizeistaaten sehr nahe.
Allgemeine Personenkontrollstellen sind nur dann zu rechtfertigen, wenn besondere Gefahrenlagen bestehen. Professor Hamm wendet sich nicht gegen die Pläne, für diese Fälle die gesetzlichen Voraussetzungen für Kontrollstellen der Polizei den Erfordernissen einer zeitgemäßen Gefahrenabwehr anzupassen.
Professor Dr. Rainer Hamm, der in diesem Jahr den Vorsitz der Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat, stellte heute mit Abschluss der Konferenz die Ergebnisse der Tagung in Wiesbaden der Presse vor.
Die Themen der umfangreichen Tagesordnung reichten vom Stand der Novellierung der Datenschutzgesetze des Bundes und der Länder, über die Auswirkungen der Privatisierung öffentlicher Aufgaben auf die Datenschutzkontrolle, das Zeugnisverweigerungsrecht der Datenschutzbeauftragten und die Novellierung des Strafvollzugsgesetzes bis hin zu den datenschutzrechtlichen Fragen bei der Nutzung von Pay-TV und elektronischen Geldbörsen.
Herauszustellen sind insbesondere die folgenden Ergebnisse:
Über die Führung dieser "Schattenkonten" werden die Kundinnen und Kunden noch nicht einmal informiert. Die Datenschutzbeauftragten weisen deshalb darauf hin, dass die Herausgeber solcher Karten bzw. die Kreditinstitute die Pflicht haben, ihre Kundinnen und Kunden über Art und Umfang der im Hintergrund laufenden Verarbeitungsvorgänge zu informieren.
Aber wenn schon derartige "Schattenkonten" geführt werden, dann müssen die Daten jedenfalls nach
Abschluss der Verrechnung (Clearing) sowohl bei den Evidenzzentralen als auch bei den Händlern gelöscht oder zumindest anonymisiert werden.
Die Datenschutzbeauftragten fordern die Kartenherausgeber und die Kreditwirtschaft eindringlich dazu auf, vorzugsweise kartengestützte Zahlungssysteme ohne personenbezogene Daten - sog. White Cards - anzubieten, deren Anwendung so zu gestalten ist,
dass ein karten- und damit personenbezogenes Clearing nicht erfolgt. Den Gesetzgeber haben die Datenschutzbeauftragten dazu aufgerufen, gesetzlich sicherzustellen,
dass auch in Zukunft die Möglichkeit besteht, im wirtschaftlichen Leben im gleichen Umfang wie bisher bei Bargeldzahlung anonym zu bleiben.
Die Konferenz der Datenschutzbeauftragten hat auch die datenschutzrechtlichen Probleme, die bei der Nutzung des digitalen Fernsehens ("Free TV" und "Pay TV") entstehen, erörtert. Mit der Digitalisierung der Fernseh- und Hörfunkübertragung entsteht die technische Infrastruktur dafür, dass erstmals auch das individuelle Mediennutzungsverhalten registriert werden kann. Die Datenschutzbeauftragten fordern deshalb, dass auch bei der Vermittlung und Abrechnung digitaler Fernsehsendungen eine flächendeckende Registrierung des individuellen Fernsehkonsums vermieden wird. Auch im digitalen Fernsehen
muss die unbeobachtete Nutzung des Mediums ohne Nachteile möglich bleiben. Inzwischen von den Staats- und Senatskanzleien vorgelegte Vorschläge für die Änderung des Rundfunkstaatsvertrags sind nach Ansicht der Datenschutzbeauftragten geeignet, eine datenschutzgerechte Nutzung digitaler Fernsehangebote zu ermöglichen.
Besonders hervorzuheben sind folgende Punkte:
Die technischen Möglichkeiten, diesen datenschutzrechtlichen Vorgaben zu entsprechen, sind gegeben. Davon konnten sich die Datenschutzbeauftragen bereits 1996 überzeugen.
Die Datenschutzbeauftragten bitten deshalb die Ministerpräsidenten der Länder an ihren datenschutzrechtlichen Regelungen des Entwurfs festzuhalten. Damit würden das bisherige Datenschutzniveau für den Fernsehzuschauer im digitalen Zeitalter abgesichert und zugleich die Vorschriften für den Bereich des Rundfunks und der Mediendienste harmonisiert.
Die Konferenz der Datenschutzbeauftragten fordert die Rundfunkveranstalter und Hersteller auf, den Datenschutz bei der Gestaltung von digitalen Angeboten schon jetzt zu berücksichtigen
Zur Diskussion standen auch die Änderungsbegehren des Bundesrats zum Entwurf des Strafvollzugsgesetzes. Der Entwurf der Bundesregierung hatte fast ausschließlich das Ziel, datenschutzrechtliche Regelungen in das Strafvollzugsgesetz aufzunehmen. Die nunmehr vorgelegten Änderungsanträge des Bundesrates zu diesem Entwurf bedeuten aus Sicht des Datenschutzes in einigen wesentlichen Punkten eine Verschlechterung gegenüber dem Entwurf der Bundesregierung. Beispielsweise hat der Bundesrat gefordert, dass Lichtbilder und Personenbeschreibungen der Inhaftierten, die zum Zwecke des Strafvollzugs angefertigt wurden, entgegen dem bisher geltenden Grundsatz, dass diese nach Entlassung des Gefangenen aus der Haft zu vernichten sind, weiter aufbewahrt werden dürfen. Hierbei handelt es sich nach Auffassung der Konferenz um eine unzulässige Datenspeicherung auf Vorrat. Der Vorschlag des Bundesrats, die bisher vorgesehene Offenbarungsbefugnis von Ärzten oder Sozialarbeitern in eine Mitteilungspflicht gegenüber der Anstaltsleitung umzuwandeln, widerspricht nach Auffassung der Datenschutzbeauftragten der Ausgestaltung der besonderen Schweigerechte dieser Berufsgruppen. Die Datenschutzbeauftragten erkennen an, dass sich der Gesetzentwurf bemüht, die Eingriffe in das Recht auf informationelle Selbstbestimmung auf das im Rahmen des Strafvollzugs erforderliche Maß zu beschränken. Allerdings wird dieser Versuch durch das Begehren des Bundesrats nahezu konterkariert, indem die Übermittlung von Daten Inhaftierter zu vollzugsfremden Zwecken beinahe unbegrenzt erlaubt werden soll. In diesen Punkten halten die Datenschutzbeauftragten eine Korrektur für erforderlich; die Konferenz hat deshalb den Vorsitzenden gebeten, ihre Vorstellungen dem Bundesminister der Justiz mitzuteilen.
Nachdem sich die Bonner Koalition und die SPD auf eine Änderung des Grundgesetzartikels 13, der den Schutz der Unverletzlichkeit der Wohnung zum Inhalt hat, geeinigt haben, müssen nun noch Bundestag und Bundesrat dieser Absprache zustimmen, wenn sie Gesetz werden soll. Zu dieser vorgesehenen Grundgesetzänderung ("Großer Lauschangriff") sehe ich mich zunächst in meiner Funktion als Hessischer Datenschutzbeauftragter, aber auch als vorwiegend in Strafsachen tätiger Rechtsanwalt aufgerufen, Stellung zu beziehen und an die Abgeordneten zu appellieren, das Grundrecht auf Unverletzlichkeit der Wohnung nicht leichtfertig auf´s Spiel zu setzen.
Rede des Hessischen Datenschutzbeauftragten, Prof. Dr. Rainer Hamm,
auf der Fachtagung des Hessischen Landtags am 5. November 1997 "Elektronische Geschäftsprozesse in der öffentlichen Verwaltung"
Kryptographie im Geschäftsverkehr - die Anforderungen des Datenschutzes
Wir befinden uns hier in dem Raum, in dem Gesetze gemacht werden. Zum Beispiel das Hessische Datenschutzgesetz - es war weltweit das erste seiner Art - wurde hier im Jahre 1970 beschlossen. In diesem Raum wird auch bis zum Oktober des nächsten Jahres ein neues Hessisches Datenschutzgesetz zu beschließen sein, weil es eine europäische Richtlinie gibt, die allen Mitgliedstaaten diese Frist gesetzt hat, bis zu der die nationalen Datenschutzgesetze den Bestimmungen eben jener Richtlinie anzupassen sind.
Zu diesen Bestimmungen gehört auch Art. 17 Abs. 1 der Richtlinie, in der es heißt:"Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen durchführen
muss, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang - insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden - und gegen jede andere Form der unberechtigten Verarbeitung personenbezogener Daten erforderlich sind.
Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist."
Mit den "Mitgliedstaaten" sind im Falle der föderativ aufgebauten Staaten wie Deutschland in erster Linie der Bund und erst danach die einzelnen Länder gemeint. Deshalb hatte ich eine Zeit lang sehr viel Sympathie für den Vorschlag einer Fraktion des Hessischen Landtags, die kurz nach meiner Wahl zum Datenschutzbeauftragten meinte, der hessische Gesetzgeber solle beschließen, dass er erst tätig wird, wenn zuvor das Bundesdatenschutzgesetz an die Richtlinie angepasst sei. Dabei war freilich angenommen worden, der Bundesgesetzgeber werde damit fristgerecht fertig. Das sieht aber zur Zeit überhaupt nicht danach aus. Deshalb muss der in Sachen Datenschutz stets vorbildliche hessische Gesetzgeber die Frist für das HDSG wahren, ohne dass zuvor Bonn seine Hausaufgaben gemacht hat.
Für das neue BDSG gibt es noch nicht einmal einen Regierungsentwurf. Und da bekanntlich in Bonn auch schon der Wahlkampf begonnen hat, der erst kurz vor Fristablauf beendet sein wird, werden wir jetzt ein Jahr Zeugen des bemerkenswerten Vorgangs, dass ein Gesetzgeber selbst geltendes Recht bricht.
Dies verdient Kritik. Lob verdient der auch sonst zur Zeit mit Recht viel gescholtene Bonner Gesetzgeber dagegen für sein Verhalten im Zusammenhang mit dem mir gestellten Thema: "Kryptographie im Geschäftsverkehr - die Anforderungen des Datenschutzes."
Unter Kryptographie versteht man in unserem Zusammenhang zwei verschiedene Formen der Verschlüsselung von Schriftzeichen und Informationen:
Die beiden Formen der Anwendung kryptographischer Verfahren muss man streng auseinanderhalten, weil sie ganz unterschiedlichen Zwecken dienen:
Letzteres ist deshalb notwendig, weil das Internet ein offenes über den ganzen Erdball gespanntes Netz ist, mit unzähligen und unberechenbaren Möglichkeiten, solche Post mitzulesen, abzufangen, abzuspeichern, abzuändern, mit Viren zu infizieren und beliebig an weitere Unbefugte zu verbreiten. - Eine Horrorvorstellung für jeden, der auch nur in Ansätzen verstanden hat, wozu Datenschutz und Datensicherheit nötig sind.
Digitale Signatur und Dokumentenverschlüsselung auseinander zuhalten, ist auch und gerade dann wichtig, wenn sie gleichzeitig am gleichen Objekt angewendet werden, was einen optimalen Datenschutz bewirkt:
Ich kann auch mein höchstpersönliches Tagebuch, das niemanden außer mir etwas angeht, in meinem häuslichen PC verschlüsselt schreiben und abspeichern. Hätte Thomas Mann schon diese Möglichkeit gehabt, genutzt und den Schlüssel mit ins Grab genommen, hätten seine Tagebücher nicht in den schönen und immer wieder lesenswerten Bänden, die inzwischen selbst zur Weltliteratur gehören, veröffentlicht werden können. Das wäre im Falle dieser "öffentlichen Person" schade.
Anderer Auffassung kann man mit der Hälfte der Senatsmitglieder des Bundesverfassungsgerichts bei den strafrechtlich beschuldigten Menschen sein, die zu hohen Freiheitsstrafen verurteilt wurden, weil sie ihre intimen Aufzeichnungen in Schulhefte oder ledergebundene Bücher im Klartext gemacht hatten. Hätten sie stattdessen ihren Laptop und wirksame Verschlüsselungsverfahren benutzt, hätte die Staatsanwaltschaft bei ihrer Beweisführung so dagestanden wie in den vielen Fällen, in denen die Beschuldigten überhaupt kein Tagebuch geschrieben haben. Der Staat hat aber auch nun einmal wirklich keinen Anspruch darauf, dass seine Bürgerinnen und Bürger über alle ihre Erlebnisse, oder gar ihre Rechtsverletzungen selbst Protokoll führen. Erst recht hat der Staat keinen Anspruch darauf, dass sie alles in einer verständlichen Sprache und mit jederzeit entzifferbaren Schriftzeichen in Tagebüchern aufschreiben.
Nun aber endlich das Lob für den Gesetzgeber:
Letzteres ist aber auch nur deshalb gut, weil von einer gesetzlichen Regelung bisher nur in dem Sinne die Rede war, als ein Verschlüsselungsverbot oder jedenfalls eine Einschränkung der bestehenden und inzwischen auch leicht zugänglichen Verschlüsselungsmöglichkeiten gefordert wurde.
Dass diesem Verlangen mancher Innenpolitiker der Gesetzgeber bisher widerstanden hat, kann als Erfolg der Informatiker gewertet werden, die beharrlich und nachhaltig - u.a. auf unserem 6. Wiesbadener Forum Datenschutz am 19. Juni 1997 in diesem Saal - nachgewiesen haben, dass die Kryptographie nur dann etwas taugt, wenn sie immer gerade so gut ist, dass sie die Belastungsprobe durch die jeweils besten Entschlüsselungstechniken bestehen kann. Als Selbstschutzmittel verhält sie sich zu ihren Zwecken wie die gängigen Selbstschutzmittel gegen die Gefahr der Ansteckung mit AIDS-Viren und anderer unerwünschter Folgen intensiver sexueller Kommunikation: Wenn diese verbreiteten Utensilien nicht absolut lückenlos und dicht sind, braucht man sie überhaupt nicht erst anzuwenden.
Auch ein kryptographisches Verfahren, das einer perforierenden gesetzlichen Regelung gehorchen müsste, wonach auch für Dritte die Entschlüsselbarkeit sicherzustellen sei, wäre insgesamt nichts mehr wert. Mag das Gesetz dabei als einzig berechtigte Dritte die Polizei und den Verfassungsschutz definieren, so bliebe doch für den Anwender das Wissen um die Entschlüsselbarkeit überhaupt, so dass er entweder doch auf sichere Verschlüsselungstechniken (dann also illegale) zurückgreifen oder das Medium E-Mail meiden müsste. Kriminelle würden vermutlich den ersten Weg vorziehen, weil sie ja ohnehin die Gesetze brechen wollen und es dann darauf auch nicht mehr ankommt. Brave Bürger, die Vertrauliches mitzuteilen haben, und Firmen, die Betriebsspionage fürchten, würden den anderen Weg gehen und das neue Medium meiden oder in Kauf nehmen, dass sie über die Gefahren nichts wissen. Gewonnen wäre nichts. Verloren hätten alle, die den neuen Datenübermittlungstechniken mehr Geschwindigkeit, mehr Sicherheit und überhaupt einen praktischen Nutzen für den privaten und behördlichen Geschäftsverkehr abgewinnen möchten.
Das Lob an den Gesetzgeber für seine insoweit erfreuliche Untätigkeit bezieht sich aber nur auf die Diskussion über das Verlangen nach Beschränkung und Reglementierung in dieser Richtung.
Würde der Gesetzgeber die zitierte Regelung der EG-Richtlinie ernst nehmen, wonach die Mitgliedstaaten vorsehen müssen,
dass die geeigneten technischen und organisatorischen Maßnahmen durchgeführt werden müssen, die gegen jede Form der unberechtigten Verarbeitung personenbezogener Daten erforderlich sind, dann sollte es bis zum Oktober 1998 im Bund und in allen deutschen Ländern ganz andere Gesetze geben, als sie bisher als Kryptogesetze verlangt werden. Das Ziel sollte sein, für den elektronischen Briefverkehr zwischen Behörden aber auch für die innerhalb der Behörde elektronisch gespeicherten Daten mit ausreichend sicheren kryptographischen Verfahren " ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist."
Da die Richtlinie vorschreibt, dass dabei der Stand der Technik zu berücksichtigen ist, und weil die unentschlüsselbare Verschlüsselung dem heutigen Stand der Technik entspricht, müsste ein Kryptogesetz also genau das Gegenteil von dem vorschreiben, was nach Auffassung des Bundesinnenministers in einem solchen Gesetz stehen sollte: Nicht die Entschlüsselbarkeit (etwa im Wege der Schlüsselhinterlegung), sondern die Unentschlüsselbarkeit sollte für die Zwecke des Datenschutzes gesetzlich vorgeschrieben werden.
Gute Arbeit hat der Gesetzgeber auch mit dem am 1. August 1997 in Kraft getretenen Signaturgesetz geleistet. Es gilt für den öffentlichen wie für den privaten Geschäftsverkehr und regelt die Rahmenbedingungen, unter denen die digitale Signatur - wie gesagt - sowohl die Aufgabe einer Art "elektronischer Unterschrift" als auch die Funktion einer "elektronischen Verpackung und Versiegelung" für
E-Mails erfüllen kann. Als gesetzliche digitale Signatur wird das System des privaten und öffentlichen Schlüssels definiert, der durch eine behördlich lizenzierte und überwachte Zertifizierungsstelle verwaltet wird. Dabei ist hier erstmals gesetzlich sogar die Möglichkeit vorgesehen, unter Pseudonym aufzutreten. Der Schlüssel zum Prüfen der Signatur ist öffentlich und über allgemein zugängliche Verzeichnisse in Erfahrung zu bringen. Der Absender signiert die Nachricht, indem eine verschlüsselte Kurzfassung angehängt wird. Diese kann mit Hilfe des geheimen Schlüssels errechnet werden und bildet den Authentikator. Der Empfänger kann mit Hilfe der Zusatzinformationen aus der Signatur den öffentlichen Schlüssel des Absenders feststellen. Mit diesem öffentlichen Schlüssel wird der Authentikator entschlüsselt. Stimmen beide Ergebnisse überein, dann ist das digitale Dokument garantiert unverändert angekommen ( so auch für uns Juristen einigermaßen verständlich Ivo Geis in NJW 1997, 3000).
Was freilich noch aussteht, ist eine gesetzliche Regelung, welche Rechtsfolgen die Verwendung von digitalen Signaturen nach sich zieht. Wie schon gesagt, führt sie dazu, dass die Authentizität einer elektronisch übermittelten Willenserklärung sehr viel sicherer ist als bei einer herkömmlichen und eigenhändig unterschriebenen Urkunde. Aber weder die Verfahrensordnungen (ZPO, VwGO, StPO, VwVfG, FGG usw.) noch etwa das BGB haben bisher daraus die Konsequenz gezogen, die digital signierten Dokumente auch nur der privatschriftlichen Urkunde gleichzustellen. Wo immer also bisher noch zur Gültigkeit von Willenserklärungen wie Angebotsabgaben und -annahmen, Kündigungen, Anfechtungen, Rechtsmitteleinlegungen, aber auch Belehrungen und Zustimmungen die Schriftform vorgeschrieben ist, ist dieses Erfordernis nach der derzeitigen Rechtslage durch die digitale Signatur nicht erfüllt. Hier klafft also - wie es im allerneuesten Heft der NJW so treffend heißt - noch eine empfindliche Rechtslücke, weil die Medienwende in der postindustriellen Informationsgesellschaft eine Diskrepanz zwischen den innovativen technischen Entwicklungen und der an den Informationswegen des 19. Jahrhunderts verhafteten Gesetze aufgerissen hat (Geis NJW 1997, 3000).
Aber das muss den Siegeszug der elektronischen Informationsübermittlung nicht hemmen. Die Vorschriften über Formerfordernisse haben ja auch den Siegeszug des Telefonverkehrs nicht gehindert. Und dass im Privatleben, im wirtschaftlichen Geschäftsverkehr und im Informationsaustausch zwischen Behörden, aber auch zwischen Behörden und Bürgern heute mehr denn je telefoniert wird, kann als Zeichen dafür gewertet werden, dass sich technische Entwicklungen verbunden mit erhöhter Kommunikationsgeschwindigkeit und Bequemlichkeit durch rechtliche Defizite nicht aufhalten lassen.
Umso mehr müssen die subgesetzlichen rechtsgestaltenden Möglichkeiten der vertraglichen Vereinbarung für die Anwendung kryptographischer Verfahren und der Verhaltensregeln ausgeschöpft werden. Auch dafür gibt die EG-Richtlinie eine rechtliche Handhabe. In Art. 27 der Richtlinie wird ein Verfahren vorgesehen, durch das z. B. Berufsverbände internationale Standards - auch mit Drittstaaten vereinbaren, wonach beim Transport schutzwürdiger elektronisch gespeicherter Daten die digitale Signatur zur Pflicht und zur Voraussetzung für eine privat, behördlich und gerichtlich anzuerkennende Beweisqualität gemacht werden kann.
Auf diese Weise kann nicht nur die beschriebene Rechtslücke geschlossen werden. Wir können auch die uns häufig gestellte Frage, ob im Zeitalter des global offenen Internets Datenschutz überhaupt noch möglich ist, dann so beantworten: Mit Kryptographie und digitaler Signatur im Internet macht Datenschutz erst richtig Spaß.