Die Datenschutzbeauftragten der Länder Berlin, Brandenburg, Bremen, Hessen, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Sachsen und Schleswig-Holstein erklären gemeinsam zum Entwurf des 8. Rundfunkänderungsstaatsvertrages:
Meine Damen und Herren!
I. Vorbemerkung
In meiner Funktion als Hessischer Datenschutzbeauftragter steht es mir nicht an, mich grundsätzlich zur rechtlichen Dimension des E-Government zu äußern, obwohl aus der Perspektive eines Lehrstuhlinhabers für Öffentliches Recht, insbesondere Staats- und Verwaltungsrecht, hierzu manches zu sagen wäre.
II. Domea
1. Problemlage Was in Hessen mit Domea vorgesehen ist, wurde hier ausführlich dargestellt, so dass ich Ihnen und mir eine Wiederholung ersparen kann.III. Kontrolle des ersten Einführungsschritts
Die Kernpunkte datenschutzrechtlicher Fragestellungen beziehen sich zunächst auf die 1. Stufe, das Einscannen und Registrieren der Eingangspost. Für die 1. Stufe befindet sich die Vorabkontrolle in der Überarbeitung. Die Verarbeitung sensibler Daten soll danach ausgeschlossen sein, sodass das Problem der unbefugten Kenntnisnahme noch relativ "unkritisch" sein dürfte. 1. Formale Anforderungen Der erwähnte § 7 Abs. 6 HDSG verlangt für den Einsatz oder die wesentliche Änderung eines Verfahrens zur automatisierten Datenverarbeitung eine gutachtliche Bewertung der einzelnen Gefahren für das informationelle Selbstbestimmungsrecht unter den Aspekten der rechtlichen Zulässigkeit sowie der technischen und organisatorischen Datensicherheit. Durchzuführen ist die Vorabkontrolle von demjenigen, der für den Einsatz oder die wesentliche Änderung des Verfahrens zuständig ist. Da die Gesamtsteuerung der DMS-Einführung beim HMDI liegt, die Ressorts aber die nach außen verantwortlichen datenverarbeitenden Stellen sind, bietet es sich an, dass das HMDI als zentrale Vorgabe auch für den eigenen Bereich exemplarisch die Vorabkontrolle durchführt und so ein Muster erstellt. An diesem Muster können sich die einzelnen Ressorts orientieren, wenn sie die bei ihnen jeweils zu bewertenden Gefahren und die Gegenmaßnahmen detailliert im Rahmen ihrer eigenen Vorabkontrollen beschreiben. Das Muster ist zweckmäßiger Weise mir vorzulegen. Denn sollte es künftig, wie geplant, zu einem ressort- oder dienststellenübergreifenden Zugriff auf Domea-Dokumente kommen, ist ohnehin die formale Beteiligung meines Hauses im Rahmen des § 15 Abs. 1 Satz 4 HDSG (gemeinsames Verfahren) notwendig.IV. Kontrolle des zweiten Einführungsschritts
Kommt es zur zweiten Einführungsphase, der elektronischen Sachbearbeitung, stellen sich zusätzliche Fragen, die in einer erneuten (fortgeführten) Vorabkontrolle zu beantworten sind. 1. Zugriffsberechtigung So muss technisch und organisatorisch bei der elektronischen Sachbearbeitung sichergestellt werden, dass die Sachbearbeiter nur auf die Dokumente zugreifen können, die sie im Rahmen ihrer Zuständigkeit benötigen. Daher wird die Abbildung und Umsetzung des Berechtigungskonzeptes mit begleitenden organisatorischen Maßnahmen der zentrale Punkt sein. Im Mittelpunkt steht bei der elektronischen Akte somit die Frage nach der Zugriffsberechtigung der Mitarbeiter und Organisationseinheiten hinsichtlich der eingescannten und zur Volltextrecherche aufbereiteten Dokumente.V. Kontrolle des dritten Einführungsschritts
Der dritte Einführungsschritt hat noch keine klaren Konturen. Vor seiner Umsetzung ist eine Beschreibung aller Arbeitsabläufe geboten.
VI. Schlussbemerkung
Ich hatte am Anfang die Kooperationsbereitschaft meines Hauses bei der Bewältigung datenschutzrechtlicher Probleme erklärt und die umgekehrte Kooperationsbereitschaft der Landesverwaltung auf allen Ebenen begrüßt. Etwas Wasser muss ich abschließend doch in den Wein gießen. Die Erfassung der zahlreichen generellen und speziellen datenschutzrechtlichen Probleme war und ist für alle Beteiligten deshalb so schwierig, weil auf zahlreichen planenden Ebenen verschiedene Gremien Projektgruppen und AGs gleichzeitig DMS-Konzepte unter extrem eng gesetztem Zeitrahmen erstellen, weiter entwickeln und abstimmen müssen Hinzu kommt die ständige Anpassung der Konzepte an praktische Probleme der Einführung. Es wäre begrüßenswert, wenn der Datenschutz stärker von vornherein in die Betrachtung einbezogen würde, damit nicht im Schnellschussverfahren nachgebessert werden muss. Der Datenschutz ist kein lästiges Hindernis für den technischen Fortschritt, sondern dessen notwendige Voraussetzung in einem freiheitlichen Gemeinwesen. Der Erhalt dieser Freiheit ist unser gemeinsames Ziel. Der Datenschutz dient damit nicht der Verwässerung von Domea und anderen E-Government-Projekten, sondern der Optimierung.Die gute Tradition des Wiesbadener Forum Datenschutz, das auf Einladung des Präsidenten des Hessischen Landtags und des Hessischen Datenschutzbeauftragten stattfindet, wird auch mit dem neuen Hessischen Datenschutzbeauftragten, Professor Michael Ronellenfitsch, fortgeführt.
Landtagspräsident Norbert Kartmann wird die Teilnehmer des Forums im Plenarsaal des Hessischen Landtags begrüßen. Das Thema des diesjährigen Forums lautet:
Herr Präsident, meine Damen und Herren,
der heutige Start des Hollywood-Spektakels "Troja" veranlasst mich zu einem Vergleich. Ob der trojanische Krieg jemals stattfand oder nicht, kann dahingestellt bleiben. Jedenfalls war Troja eine befestigte Stadt, von der mindestens 10 Siedlungsschichten nachgewiesen sind, die im Verlauf der Jahrtausende entstanden. Da traditionell mit Lehmziegeln gebaut wurde, mussten die Mauern immer wieder erneuert werden, wobei eine Schicht als Fundament für die jeweils neue Schicht diente. Ähnlich verhält es sich mit dem Datenschutz. Auch er verläuft in Entwicklungsstufen. Wenn alte Probleme gelöst sind, tauchen immer wieder neue auf. Jeder für den Datenschutz Verantwortliche kann einerseits alte Mauern schleifen und muss andererseits neue Mauern gegenüber neuen Angriffen errichten. Der weit hergeholte Vergleich soll rechtfertigen, dass und wie ich den 31. Tätigkeitsbericht vertrete, der noch unter der Ägide meines Amtsvorgängers entstanden ist. Wenn ich vorab einige Punkte erwähne, in denen ich eine andere Auffassung vertrete als Prof. von Zezschwitz, dient das allein dazu, überholte Mauern abzutragen, um das uns beiden gemeinsame Ziel zu verfolgen, den Datenschutz gegen neue Angriffe abzusichern. Generell identifiziere ich mich mit dem 31. Tätigkeitsbericht, da ich mit den vorhandenen Mitarbeiterinnen und Mitarbeitern eine schlagkräftige Besatzung der Festung Datenschutz übernehmen konnte. Zur Sache: An der Auffassung, die Rasterfahndung stelle einen Verwaltungsakt dar, halte ich nicht fest. Ferner leuchtet mir nicht ein, warum Journalisten datenschutzrechtlich eine Sonderstellung eingeräumt werden sollte, die über die Vergünstigungen der Strafprozessordnung hinausgeht. Schließlich sehe ich keine Gefährdung der richterlichen Unabhängigkeit bei Einbindung der HZD in die Datenverarbeitung. Letzteres ist ein Konflikt, der noch schwelt. Wenn Richtern schon die Vergünstigung zugestanden wird, Entscheidungen am heimischen Arbeitsplatz vorzubereiten und abzusetzen, sollten sie dort auch den datenschutzrechtlichen Anforderungen genügen. Aber damit greife ich dem 33. Datenschutzbericht vor. Schwerpunkte des 31. Tätigkeitsberichts sind etwa die Videoüberwachung, die Evaluation der Lehre in den Hochschulen, die Verleihung von Orden und Ehrenzeichen, die Prüfkompetenz des Hessischen Datenschutzbeauftragten und die Datensicherheit. Hinsichtlich der Videoüberwachung besteht zur Landesregierung allenfalls ein quantitativer Dissens. Neue rechtliche Instrumente haben die Tendenz, über das Ziel hinauszuschießen. Die Überwachung muss auf präzise umgrenzte öffentliche Räume beschränkt bleiben. Ursprünglich sollten durch die Videoüberwachung Kriminalitätsbrennpunkte entschärft werden. Für Baden-Württemberg wurde diese Konzeption vom dortigen Verwaltungsgerichtshof mit Urteil vom 21.Juli 2003 rechtskräftig gebilligt. Hiergegen lässt sich einwenden, dass diese Konzeption nur zu einer Verdrängung der Kriminalitätsbrennpunkte führt und tendenziell eine Ausweitung der Überwachungstätigkeit zur Folge hat. Überzeugender ist es, wenn die Videoüberwachung weniger zur unmittelbaren Bekämpfung der Kriminalität eingesetzt wird, sondern zur Schaffung von "Sicherheitsinseln", ähnlich, wie Frauenparkplätze in Parkhäusern in möglichst ungefährlicher Lage eingerichtet werden sollten. Zur Evaluation der Lehre erlaube ich mir die Bemerkung, dass ich ein Schutzbedürfnis nicht sehe. Hochschullehrer sind keine Geheimräte mehr. Sie sollten sich bei ihrer Amtstätigkeit der Kritik der ihnen anvertrauten Studierenden stellen und nicht in die Anonymität flüchten. Eine wissenschaftlich seriöse Evaluation stellt m.E. keinen datenschutzrechtlich relevanten Eingriff in die Lehrfreiheit dar. Der Datenschutz im Zusammenhang mit der Verleihung von Orden- und Ehrenzeichen scheint eine Banalität zu sein, die man guten Gewissens (vermeintlich unbürokratisch) verwaltungsintern regeln könnte. Der Schein trügt. Die Verleihung ist nicht nur eine Begünstigung. Wer vorgeschlagen und für die Verleihung für untauglich befunden wird, ist durch negative Daten belastet, von denen er keine Kenntnis erlangt. Jedenfalls geht es nicht an, alle Verleihungen gleich zu behandeln. Die Prüfkompetenz des Hessischen Datenschutzbeauftragten hängt letztlich mit der Frage zusammen, ob die hessische Trennung des öffentlichen und privaten Datenschutzes rechtlich geboten und praktisch sinnvoll ist. Darauf will ich mich hier nicht einlassen. Aber sicher sollte sein, dass der Hessische Datenschutzbeauftragte zur Kontrolle der Landesverwaltung berufen ist. Verwaltung ist dabei materiell zu verstehen. Überall dort, wo Aufgaben der öffentlichen Verwaltung wahrgenommen werden, also namentlich auch in Bereichen der Daseinsvorsorge, ist der Hessische Datenschutzbeauftragte zuständig. Zur Daseinsvorsorge zählt in Hessen auch der ÖPNV. Wenn aus der Altmark-Entscheidung des EuGH vom 24. Juli 2003 fragwürdige Schlüsse gezogen werden, darf das jedenfalls nicht den öffentlichen Datenschutz beeinflussen. Das Anliegen, das uns alle eint, ist die Datensicherheit. Für uns alle ist die Kommunikationsfreiheit ein Grundbedürfnis, fast so wichtig wie Nahrung und Wohnung. Kommunikation ist ein zweiseitiger Prozess der Informationsverbreitung und –beschaffung. Der Datenschutz gewährleistet, dass wir bei der Informationsbeschaffung nicht ausspioniert werden. Um auf den Eingangsvergleich zurückzukommen: Die legitimen Ansprüche der Bevölkerung auf Umweltinformationen - wie generell Informationen über die Verwaltungstätigkeit im Wege der Telekommunikation - dürfen nicht durch das Risiko zunichte gemacht werden, sich ungebetene Gäste über den PC in den privaten Lebensbereich einzuladen. Die Datensicherheit ist ein zentrales Anliegen des aktuellen Datenschutzes. Der 31. wie die weiteren Datenschutzberichte dienen dazu, Hilfestellungen bei der Herstellung größtmöglicher Datensicherheit zu leisten. Nicht von ungefähr spricht man in diesem Zusammenhang – ungenau die Täter und Opfer verwechselnd – von "Trojanern". Ich komme zum Schluss. Hessen ist die Hochburg des Datenschutzes. Daher sind für den Zeitraum des 31. Tätigkeitsberichts keine gravierenden Verstöße gegen den Datenschutz zu verzeichnen. Zu verdanken ist dies dem guten Zusammenwirken von Regierung, Opposition und Datenschutzbeauftragten. Das literarische Beispiel von Troja sollte uns aber eine Lehre sein. Keine Burg ist uneinnehmbar. Dem Datenschutz drohen durch die technische und politische Entwicklung (Sicherheitsdiskussion) Gefahren, gegen die wir gewappnet sein müssen. Hierzu benötigt der Datenschutzbeauftragte eine schlagkräftige, nicht dezimierte Truppe und die Zustimmung aller verantwortlichen politischen Kräfte. Politik geht nicht von ungefähr auf griechisch "polis" zurück, dessen Verbalform ("politein") erstmals in der Ilias (7. Gesang, Vers 453) in dem Sinn gebraucht wurde: "miteinander eine Mauer um eine Siedlung bauen". Wir alle sind aufgerufen, den Datenschutz als Mauer um die informationelle Selbstbestimmung zu befestigen. Der 31. Tätigkeitsbericht belegt, dass dies bisher gelungen ist. Vielen Dank für Ihre Aufmerksamkeit.Veranstaltungshinweis:
Einladungen können angefordert werden unter:
Telefon: 0611 / 1408-0
, Universität HannoverThemen und Referenten:
- Prof. Dr. Jörg Schmidtke
Die Bedeutung der Genanalysen
Der Rechtsrahmen der Genanalysen
Datenschutzrechtliche Schranken der Genanalysen
Genanalysen in Korea
Genanalysen in Israel
Der Bericht über die Tätigkeit des Hessischen Datenschutzbeauftragten im Jahr 2003 wurde von Professor Michael Ronellenfitsch vorgelegt, der das Amt des Hessischen Datenschutzbeauftragten mit Wirkung vom 1. Oktober 2003 angetreten hat. Der Bericht bezieht sich insoweit in großen Teilen auch auf die Tätigkeit des Amtsvorgängers, Professor von Zezschwitz, im Jahre 2003.
Wie immer beschränkt sich der Bericht auf die Präsentation von Schwerpunkten und Fragestellungen, die über den Einzelfall hinaus Wirkung entfalten. Einige Beispiele sind in der Folge heraus gegriffen. Der vollständige Tätigkeitsbericht kann nach Ablauf der Sperrfrist von der Homepage des Hessischen Datenschutzbeauftragten abgerufen werden (www.datenschutz.hessen.de).
Telearbeit in Hessen
Fotos auf Demonstrationen
Der Hessische Datenschutzbeauftragte ist im vergangenen Jahr verschiedenen Beschwerden darüber nachgegangen, dass bei Versammlungen bzw. Demonstrationen von der Polizei Video- oder sonstige Bildaufnahmen vorgenommen wurden, deren Rechtmäßigkeit von Betroffenen bezweifelt wurde. In einigen Fällen waren auch Minderjährige von diesen Aufnahmen betroffen. Die Überprüfung aller Fälle hat ergeben, dass sich die Polizei an die rechtlichen Vorgaben gehalten hat. Bei den vom Hessischen Datenschutzbeauftragten überprüften Fällen wurden Aufnahmen nur dann gefertigt, wenn Anhaltspunkte für die Begehung von Straftaten vorlagen. Bei den Versammlungen handelte es sich meist um Gegendemonstrationen zu Demonstrationen von Rechtsextremisten, wobei u.a. in den Versammlungsaufrufen die Rede davon war, die Demonstration der Rechten notfalls auch mit Gewalt zu verhindern. Die Überprüfung durch den Hessischen Datenschutzbeauftragten hat ergeben, dass die gefertigten Lichtbilder und Videodokumentationen anschließend vernichtet worden sind.Der Ärger mit den unerwünschten E-Mails
Für E-Mail Nutzer sind die sogenannten SPAM–Mails zur Plage geworden. Es handelt sich dabei um unverlangt zugesendete Werbe-Mails, welche die Postfächer von Privatleuten und in Behörden oder Unternehmen verstopfen. Je nach Anbieter kann der Anteil von SPAM bis zu 80% des gesamten Aufkommens ausmachen. Jede erwünschte E-Mail muss sich also mit vier SPAM-Mails die Kapazitäten teilen, was dann zu erheblichen Einschränkungen bei der Internetnutzung führt. Da zusätzlich die Mail-Anhänge auch Schadprogramme wie beispielsweise Computerviren enthalten können, ergeben sich insgesamt erhebliche Probleme für die Datensicherheit. Um den Bürgern und den Verwaltungen den Umgang mit diesem Problem zu erleichtern, hat der Hessische Datenschutzbeauftragte in seinem Bericht technische Lösungsansätze beschrieben und die rechtliche Situation mit ihren Konsequenzen dargestellt.