Der Hessische Datenschutzbeauftragte beteiligt sich an internationaler Aktion zur Transparenz und Datenschutzkontrolle im Internet


In der Woche vom 6.-12. Mai 2013 fand unter Beteiligung des Hessischen Datenschutzbeauftragten der erste weltweite GPEN Internet Privacy Sweep / eine überblicksartige Internetrecherche statt. Bei dem vom Global Privacy Enforcement Network (GPEN), einem weltweiten Zusammenschluss von Datenschutzaufsichtsbehörden, organisierten Sweep wurde untersucht, inwiefern die Datenverarbeitung durch Websites und Smartphone-Apps für die Nutzer transparent ist.

Am Internet Privacy Sweep waren 19 Datenschutzbehörden aus Europa, Asien, Nordamerika und Ozeanien beteiligt. Neben dem Bundesbeauftragten für Datenschutz und Informationsfreiheit nahmen fünf Landesdatenschutzbehörden an der Aktion teil, darunter auch der Hessische Datenschutzbeauftragte. In der Sweep-Woche überprüften die teilnehmenden Behörden in einer koordinierten Aktion weltweit knapp 1800 Websites und Smartphone-Apps darauf hin, ob die Angebote über Datenschutzerklärungen verfügen und ob diese leicht auffindbar, verständlich und vollständig sind. So sollte aus der Sicht eines durchschnittlichen Verbrauchers und mit dem von ihm üblicherweise betriebenen Aufwand festgestellt werden, ob ein schneller Überblick über die Datenverarbeitung bei den Angeboten möglich ist.

Neben der konkreten Untersuchung der Websites und Apps zielte der Sweep auch darauf ab, das Bewusstsein der Öffentlichkeit und der Wirtschaft für den Datenschutz zu schärfen, die Einhaltung der Datenschutzgesetze voranzutreiben, globale Defizite bei den Datenschutzerklärungen von Websites und Apps zu erkennen und die Kooperation der Datenschutzaufsichtsbehörden zu fördern.

Der Hessische Datenschutzbeauftragte hat im Rahmen des Sweep die Datenschutzerklärungen von Websites größerer Unternehmen mit Sitz oder Niederlassung in Hessen überprüft. Die untersuchten Websites schnitten dabei recht gut ab, es wurden nur wenige, meist unwesentliche Defizite festgestellt. Kurioserweise fanden sich die schlechtesten Ergebnisse bei einer größeren, u.a. auf IT-Recht spezialisierten Frankfurter Rechtsanwaltskanzlei und einer Wirtschaftsauskunftei. Insgesamt liegen die Ergebnisse des Sweep beim Hessischen Datenschutzbeauftragten aber deutlich über dem weltweiten Durchschnitt, was sicherlich auch an den gesetzlichen Vorgaben in Deutschland liegt. So müssen deutsche Websites eine Datenschutzerklärung haben, wenn mit ihnen personenbezogene Daten erhoben und verarbeitet werden.

Bei der Auswertung der Gesamtergebnisse des Sweep zeigten sich verschiedene weltweite Trends:

  • etwa ein fünftel aller weltweit überprüften Websites und Apps hatten gar keine Datenschutzerklärung
  • teilweise enthielten die Datenschutzerklärungen nur allgemeine Informationen bzw. Textbausteine ohne konkreten Bezug zur Datenerhebung und -verarbeitung auf der Website bzw. bei dem dahinterstehenden Unternehmen
  • - bei Smartphone-Apps gab es deutlich größere Defizite als bei Websites. Mehr als die Hälfte der untersuchten Apps hatten gar keine Datenschutzerklärungen, die vorhandenen waren fast alle nicht konkret genug oder wiesen andere inhaltliche Mängel auf.

Jedoch fielen auch sehr viele Websites mit gut auffindbaren, sehr ausführlichen und gut verständlichen Datenschutzerklärungen positiv auf. Auch der Großteil der vom Hessischen Datenschutzbeauftragten untersuchten Websites hatte gute bis sehr gute Datenschutzerklärungen, anhand derer die Nutzer leicht herausfinden können, welche Daten der Anbieter erhebt und wie er diese nutzt. Besonders positiv fiel sowohl international als auch in Hessen auf, dass auf den Websites oft Kontaktinformationen von speziell für den Datenschutz zuständigen Mitarbeitern angegeben waren, obwohl es dazu zumindest in Deutschland keine gesetzliche Verpflichtung gibt.

Auch nach dem Abschluss der konkreten Prüfung läuft die Nachbereitung des Sweep weiter. Nach der weltweiten Auswertung der Ergebnisse ergreifen die teilnehmenden Aufsichtsbehörden jetzt die erforderlichen Schritte, um die festgestellten Defizite zu beseitigen. In Hessen gibt es allerdings diesbezüglich keine Notwendigkeit.

Die weltweit koordinierte Aktion der Aufsichtsbehörden rückte einen Aspekt der Datenverarbeitung in den Fokus, von dem die meisten Menschen als Internet- und Smartphonenutzer täglich betroffen sind. Gerade hinsichtlich der Nutzung von Websites und Apps erfordert die effektive Durchsetzung des Datenschutzes in einer vernetzten Welt internationales Handeln. Auch in Zukunft soll es deshalb weitere weltweite Aktionen des GPEN geben. Für das nächste Jahr ist bereits ein weiterer Sweep geplant.

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 13.08.2013

 
 

Datenschutzkonferenz:
Geheimdienste gefährden massiv den Datenverkehr zwischen Deutschland und außereuropäischen Staaten (24. Juli 2013)


Angesichts der Berichte über die umfassenden und anlasslosen Überwachungsmaßnahmen ausländischer Geheimdienste, insbesondere der US-amerikanischen National Security Agency (NSA), weist die Konferenz der Datenschutzbeauftragten des Bundes und der Länder auf die Befugnisse hin, die den Aufsichtsbehörden beim internationalen Datenverkehr zwischen Unternehmen in Deutschland und Drittstaaten nach dem Bundesdatenschutzgesetz und der europäischen Datenschutzrichtlinie bereits jetzt zustehen.

Die Europäische Kommission hat in mehreren Entscheidungen Grundsätze des „sicheren Hafens“ („Safe Harbor“) zum Datentransfer in die USA (2000) und Standardvertragsklauseln zum Datentransfer auch in andere Drittstaaten (2004 und 2010) festgelegt. Die Beachtung dieser Vorgaben soll gewährleisten, dass personenbezogene Daten, die in die USA oder andere Drittstaaten übermittelt werden, dort einem angemessenen Datenschutzniveau unterliegen. Allerdings hat die Kommission stets betont, dass die nationalen Aufsichtsbehörden die Datenübermittlung dorthin aussetzen können, wenn eine „hohe Wahrscheinlichkeit“ besteht, dass die Safe-Harbor-Grundsätze oder Standardvertragsklauseln verletzt sind.

Dieser Fall ist jetzt eingetreten. Die Grundsätze in den Kommissionsentscheidungen sind mit hoher Wahrscheinlichkeit verletzt, weil die NSA und andere ausländische Geheimdienste nach den gegenwärtigen Erkenntnissen umfassend und anlasslos ohne Einhaltung der Grundsätze der Erforderlichkeit, Verhältnismäßigkeit und Zweckbindung auf personenbezogene Daten zugreifen, die von Unternehmen in Deutschland an Stellen in den USA übermittelt werden. Zwar enthält die Safe-Harbor-Vereinbarung eine Regelung, die die Geltung der Grundsätze des „sicheren Hafens“ begrenzt, sofern es die nationale Sicherheit erfordert oder Gesetze solche Ermächtigungen vorsehen. Im Hinblick auf das Ziel eines wirksamen Schutzes der Privatsphäre soll jedoch von diesen Eingriffsbefugnissen nur im Rahmen des tatsächlich Erforderlichen und nicht exzessiv Gebrauch gemacht werden. Ein umfassender und anlassloser Zugriff auf personenbezogene Daten kann daher durch Erwägungen zur nationalen Sicherheit in einer demokratischen Gesellschaft nicht gerechtfertigt werden. Auch bei Datenübermittlungen in die USA aufgrund der Standardverträge muss der Datenimporteur zusichern, dass seines Wissens in seinem Land keine Rechtsvorschriften bestehen, die die Garantien aus den Klauseln in gravierender Weise beeinträchtigen. Eine solche Generalermächtigung scheint in den USA zu bestehen; denn nur so lässt sich erklären, dass der US-amerikanische Geheimdienst auf personenbezogene Daten, die aufgrund der Standardverträge übermittelt werden, mit hoher Wahrscheinlichkeit routinemäßig zugreift.

Deshalb fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird. Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (z. B. auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind.

Schließlich fordert die Konferenz die Europäische Kommission auf, ihre Entscheidungen zu Safe Harbor und zu den Standardverträgen vor dem Hintergrund der exzessiven Überwachungstätigkeit ausländischer Geheimdienste bis auf Weiteres zu suspendieren.

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 24.07.2013

 
 

Pressemitteilung zum 20. Wiesbadener Forum Datenschutz am 17. Mai 2013


Der Präsident des Hessischen Landtags, Norbert Kartmann, und der Hessische Datenschutzbeauftragte, Professor Dr. Michael Ronellenfitsch, laden zum 20. Wiesbadener Forum Datenschutz in den Plenarsaal des Hessischen Landtags ein.

Das diesjährige Forum widmet sich dem Thema

„Globalisierung und Datenschutz“

Der Welthandel lebt insbesondere auch vom Austausch von Daten. Daten haben einen wirtschaftlichen Wert, vor allem wenn sie Aussagen über konkrete Personen ermöglichen. Durch die Verarbeitung dieser Daten wird in das informationelle Selbstbestimmungsrecht der Betroffenen eingegriffen. Es kann deshalb zwischen dem Welthandel mit Daten und dem Datenschutz zu Kollisionen kommen. Das Spannungsverhältnis zwischen Welthandelsfreiheit einerseits und Datenschutz andererseits soll auf dem 20. Wiesbadener Forum Datenschutz erörtert werden. Die Vorträge der folgenden Referentin und Referenten werden die Grundlage für eine gewiss interessante und weiterführende Diskussion bilden:

  • Dr. Michael Bruder, Hessisches Ministerium für Wirtschaft, Verkehr und Landesentwicklung
    „Datenverkehr und Datenschutz als globaler Wirtschaftsfaktor“
  • Prof. Dr. Indra Spieker genannt Döhmann, Zentrum für angewandte Rechtswissenschaft, Karlsruhe
    „Der Welthandel mit Daten“
  • Sierk Hamann, Richter am Amtsgericht Reutlingen
    „Der Zugriff auf globale Netzwerke im Strafverfahren – Erfahrungen eines Richters mit Facebook“
  • Prof. Dr. Martin Selmayr, Europäische Kommission
    „Europa als datenschutzrechtliches Bollwerk“

Im Anschluss an eine sicherlich lebhafte Diskussion wird Prof. Dr. Michael Ronellenfitsch eine Gesamtwürdigung zum Datenschutz im Europa- und Welthandelsrecht vornehmen.

Der Präsident des Hessischen Landtags und der Hessische Datenschutzbeauftragte laden die Vertreterinnen und der Vertreter der Presse nochmals herzlich ein, an der Veranstaltung, die am Freitag, dem 17. Mai 2013 um 10.00 Uhr beginnt, teilzunehmen.

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 14.05.2013

 
 

Der Hessische Datenschutzbeauftragte legte den 41. Tätigkeitsbericht vor


Wie in jedem Jahr zeigt der Bericht,. dass die Tätigkeitsfelder des Datenschutzbeauftragten äußerst vielfältig sind.

Besondere Aufmerksamkeit ist dieses Mal der Rechtsentwicklung des Datenschutzes in der Europäischen Union gewidmet, die erhebliche Auswirkungen auf das Datenschutzniveau in Deutschland haben kann.

Der 41. Tätigkeitsbericht ist zudem der zweite Tätigkeitsbericht des Hessischen Datenschutzbeauftragten, der auch über die Kontrolle im privaten Bereich berichtet. Nachdem der personelle Ausbau der Behörde inzwischen fast abgeschlossen ist, kann der Hessische Datenschutzbeauftragte auch verstärkt die nicht-öffentlichen Stellen prüfen und beraten, was sich auch im Tätigkeitsbericht widerspiegelt.

Europäisierung des Datenschutzrechts

Der automatisierte Datenverkehr erfolgt zunehmend global. Deshalb ist auch nach Auffassung des Hessischen Datenschutzbeauftragten eine Modernisierung des Datenschutzrechts in der Europäischen Union geboten. Allerdings ist die von der Kommission vorgelegte und jetzt in der parlamentarischen Debatte befindliche Datenschutzgrundverordnung ein Regelwerk, das nach Ansicht von Prof. Michael Ronellenfitsch die europäischen Kompetenzgrenzen überschreitet. Die Schaffung eines gemeinsamen Datenschutzmindeststandards rechtfertige es nicht, einzelnen Mitgliedstaaten zumindest im öffentlichen Bereich ein höheres Datenschutzniveau zu versagen. Durch die Entscheidung, den Datenschutz in einer Verordnung zu regeln, geschehe dies aber.
Als völlig inakzeptabel bezeichnet Prof. Ronellenfitsch die Vorschläge zur künftigen Struktur der Datenschutzaufsicht unter der letztinstanzlichen Oberaufsicht der Kommission. Das ist unter Berücksichtigung der vom EuGH postulierten Forderung nach unabhängiger Datenschutzkontrolle in den Ländern nicht tolerierbar.

Dauerbrenner: Anforderung von Personalausweiskopien

Von den verschiedensten Institutionen wird zu ldentifizierungszwecken gern reflexartig die Vorlage einer Personalausweiskopie gefordert, die dann auf unbestimmte Zeit in den. Unterlagen von Unternehmen wie Banken, Versicherungen, Hotels, Mietwagenfirmen, der SCHUFA, aber auch. Behörden landen. Nur in den wenigsten Fällen ist aber die Vorlage einer Personalausweiskopie rechtlich zulässig bzw. erforderlich, betont der Hessische Datenschutzbeauftragte. So lasse das Geldwäschegesetz die Fertigung von Kopien durch Banken und Versicherungen, soweit es um Lebens- und Unfallversicherungen gehe, ausdrücklich zu. In anderen Lebensbereichen reiche es hingegen aus, wenn der Ausweis zur Identifizierung vorgelegt und dies entsprechend vermerkt werde. Möglich müsse auch die Vorlage einer Kopie sein, auf der Teile der Daten wie etwa die maschinenlesbare Zone oder Größe und Augenfarbe des Inhabers geschwärzt seien.

Telefondatenüberwachung von Personal- bzw. Betriebsratsmitgliedern

Die ungestörte Ausübung der Personalrats- oder Betriebsratstätigkeit schließt eine umfassende Kontrolle des Kommunikationsverhaltens der Mitglieder von Mitarbeitervertretungen aus. Stellt der Arbeitgeber ein dienstliches Mobiltelefon zur Verfügung, das sowohl dienstlich / betrieblich als auch für Gespräche des Personal- oder Betriebsrats in dieser Funktion genutzt wird, empfiehlt der Hessische Datenschutzbeauftragte die Nutzung von Mobiltelefonen mit zwei SIM-Karten oder die getrennte Abrechnung, die von einigen Telefondienstleistern angeboten wird. Die übliche Erstellung von Einzelverbindungsnachweisen ist für Telefonate der Mitglieder von Interessenvertretungen unzulässig.

Nutzung sozialer Netzwerke durch Behörden

Soziale Netzwerke sind für viele Menschen die primäre Informationsquelle. Auch öffentliche Stellen wollen diese Netzwerke nutzen, weil sie fürchten, sonst bestimmte Bevölkerungsgruppen nicht mehr zu erreichen. Dieser Erkenntnis verschließt sich auch der Hessische Datenschutzbeauftragte nicht. Er zeigt deshalb in seinem Tätigkeitsbericht eine Möglichkeit auf, wie öffentliche Stellen durch die Einrichtung einer Fanpage Bürger erreichen können, ohne gegen Datenschutzprinzipien zu verstoßen. Alternativlose Interaktionen mit dem Bürger über soziale Netzwerke hält Prof. Ronellenfitsch jedoch für unzulässig.
Gegen die Nutzung sozialer Netzwerke durch die Polizei für Fahndungszwecke hat er unter strengen Voraussetzungen keine Bedenken. So darf z. B. Facebook für einen Fahndungsaufruf genutzt werden, etwaige Zeugenangaben erfolgen dann aber über Internetseiten der Polizei und nicht mehr im sozialen Netzwerk, so dass die Problematik der Kenntnisnahme durch unbefugte Dritte ausgeschlossen wird.

Videoüberwachung im privaten Bereich

Die Anzahl der installierten Videokameras im privaten Bereich steigt stetig und mit ihr die Anzahl der Beschwerden beim Hessischen Datenschutzbeauftragten. Diese richten sich insbesondere gegen Überwachungen in Kaufhäusern und Gastronomiebetrieben sowie deren Außenfassaden, Wohnanlagen und Firmengebäude, aber auch gegen Überwachungen am Arbeitsplatz. Nach Auffassung des Hessischen Datenschutzbeauftragten ist grundsätzlich dann von einer Überwachung abzusehen, wenn deren Zweck auch mit milderen Mitteln erreicht werden kann. Außerdem gibt es Bereiche, die einer Überwachung gar nicht zugänglich sind, wie etwa Tische und Sitzgelegenheiten in Gaststätten, Umkleiden in Kaufhäusern oder Aufenthaltsräume von Bediensteten. In vielen Fällen hat der Hessiche Datenschutzbeauftragte einen Abbau der Videokameras gefordert, manchmal half eine Neuausrichtung von Kameraeinstellungen, um einen datenschutzkonformen Zustand herzustellen. Obligatorisch ist eine Kennzeichnung der Überwachung.

Auskunfteien

Auch im Bereich der Auskunfteien ist die Zahl der Anfragen beim Hessischen Datenschutzbeauftragten sehr hoch. Das erklärt sich dadurch, dass die SCHUFA Holding AG, einige Creditreform KGs und weitere Auskunfteien ihren Sitz in Hessen haben. Im Geschäftsleben eines Verbrauchers kommt es zu einer Vielzahl von Datenübermittlungen und Datenanfragen an bzw. bei Auskunfteien. Ob Kleinkredit, Handyvertrag oder Bestellung beim Versandhandel, häufig werden die Daten in den persönlichen Datenbestand bei den Auskunfteien eingepflegt bzw. an anfragende Dritte übermittelt. Das ist für die Betroffenen solange kein Problem, solange es sich nicht um Negativdaten handelt, also Daten, die dem Verbraucher vertragswidriges Verhalten attestieren. Derartige Negativmeldungen können durchaus auf Verwechslungen von Personen im Rahmen der Einmeldung von Daten beruhen, so Prof. Ronellenfitsch. Er rät deshalb, auf Mahnbriefe eines Gläubigers unmittelbar zu reagieren und gegebenenfalls Forderungen schriftlich zu widersprechen, damit es gar nicht zu einem Negativeintrag kommt.


zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 16.04.2013

 
 

Kundendatenverarbeitung beim Bahn-Bonus-Programm der Deutschen Bahn ist datenschutzkonform


Veranlasst durch die Berichterstattung von Spiegel Online am 17. März 2013, wonach es bei der Deutschen Bahn im Rahmen des Bahn-Bonus-Programms Pläne zur Weitergabe von Kundendaten an Dritte gäbe, hat der Hessische Datenschutzbeauftragte, Prof. Dr. Michael Ronellenfitsch, als für die DB Fernverkehr AG zuständige Aufsichtsbehörde den Sachverhalt überprüft.

Professor Ronellenfitsch konnte sich davon überzeugen, dass die Deutsche Bahn nicht beabsichtigt, Kundendaten zu Marketingzwecken an Dritte weiterzugeben.

Das Unternehmen will die Kundendaten lediglich zur Werbung für eigene Angebote verwenden. Ein Widerspruch gegen eine derartige Verwendung der Daten ist den Kunden jederzeit möglich, ohne dass die Kunden auf das Sammeln von Bonus-Punkten verzichten müssen. Dies hatte die Bahn allerdings bisher nicht hinreichend klar kommuniziert. Die DB Fernverkehr AG hat auf Anregung des Hessischen Datenschutzbeauftragten die Transparenz für die Kunden inzwischen hergestellt.

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 04.04.2013

 
 

Rede im Plenum zum 40. Tätigkeitsbericht


Herr Präsident, meine sehr geehrten Damen und Herren,

für den Tätigkeitsbericht im öffentlichen Bereich hatte ich bislang zehn Minuten Redezeit. Da ich für den privaten Bereich mit berichte, müsste ich doppelte Redezeit beanspruchen. Das will ich Ihnen aber ersparen. Allerdings habe ich den öffentlichen Bereich zuletzt in sieben Schritten präsentiert. Folglich benötige ich heute 14 Schritte.

  1. Als altgedienter Hochschullehrer weiß ich, dass die Aufmerksamkeitsphase von Zuhörern bei maximal fünf Minuten liegt, wenn man den Stoff nicht mit lockeren Sprüchen aufpeppt. Das ist mir zur Gewohnheit geworden. Man hält mir deshalb bisweilen vor, dass ich meine Tätigkeitsberichte nicht seriös genug abliefere. Aber gerade das wird von mir erwartet. Jedoch fällt es mir zunehmend schwerer, diesen Erwartungen zu entsprechen. Meine Ausgriffe auf die Unterhaltungsbranche, auf den Pop-, Rock- und Schlagersektor, stoßen auf Altersgrenzen. Einerseits will ich Sie nicht mit mir vertrauten Musik- oder Filmtiteln oder Fernsehserien konfrontieren, die Sie gar nicht mehr kennen können. Andererseits fehlt mir der Bezug zu Rihanna oder Pink. Ich will nicht die Fragen der Gegenwart mit Beispielen aus der Vergangenheit beantworten. Aber manche Gesetzmäßigkeiten lassen sich nicht befristen, sondern sind zeitlos.
  2. So gilt weiterhin nicht nur: Rock&Roll will never die. Vielmehr stecken auch im deutschen Schlager immer noch mehr Lebensweisheiten als man ahnt. Daher habe ich die letzten 50 Jahre daraufhin untersucht, welches Lied jeweils am 30. Januar Nr. 1 der deutschen Hitparade war und was ich für datenschutzrechtliche Fragestellungen des Berichtzeitraums verwerten könnte. Legt man § 23 VwVfG zugrunde, wonach die Amtssprache deutsch ist, war der Ertrag gering. Es gab überhaupt nur neun deutsche Titel.
  3. Im weitesten Sinn datenschutzrechtlich relevant war der Kanzler-Song (Gerd-Show; Elmar Brand) von 2002. Ob das aber eine Verletzung des Persönlichkeitsrechts war oder ob es sich um erlaubte Satire im Lichte der Titanic-Rechtsprechung des Bundesverfassungsgerichts (BVerfGE 86, 1) oder besser noch im Sinne des Bernd-Spier-Hits von 1964 handelte: „Das kannst du mir nicht verbieten", brauchten wir mangels Zuständigkeit nicht zu klären. Ein vergleichbarer Sachverhalt spielte aber in Hessen: Die „Drei von der Lärmquelle-Aktion“ der Frankfurter Flughafengegner am 19. Januar 2012. Auch hier mussten wir nicht tätig werden. Die Aktion wurde im vergangenen Jahr nicht an mich herangetragen. Das spricht für die Toleranz der Betroffenen, die ich durch Nichteinmischung respektierte.
  4. Was den schriftlichen Tätigkeitsbericht betrifft, so verweise ich zunächst auf die Kernpunkte. Das bedeutet nicht, dass die sonstigen Teile des Berichts weniger wichtig wären. Mit dem Kern ist das ohnehin so eine Sache. Mit kernigen Sprüchen ist man leicht bei der Hand. Oder: Was dem Pudel sein Kern ist, ist dem Datenschutz sein Kernbereich privater Lebensgestaltung, wo die Menschenwürde unmittelbar und uneinschränkbar gilt. Dieser Kernbereich ist mir natürlich ebenso ein Anliegen wie dem Bundesverfassungsgericht. Aber die Formulierungen in der Abhörentscheidung vom 7. Dezember 2011, [die bei der Schlussredaktion des letzten Tätigkeitsberichts noch nicht vorlagen), helfen ehrlich gesagt, nicht viel weiter. Wörtlich:
    „Ob eine Information dem Kernbereich zuzuordnen ist, hängt davon ab, in welcher Art und Intensität sie aus sich heraus die Sphäre anderer oder Belange der Gemeinschaft berührt. Maßgebend sind die Besonderheiten des jeweiligen Einzelfalls. Zum Kernbereich gehören etwa Äußerungen innerster Gefühle oder Ausdrucksformen der Sexualität. Allerdings gehören nicht zum Kernbereich Äußerungen, die in unmittelbarem Bezug zu konkreten strafbaren Handlungen stehen."
    Was nun, wenn ein Terrorist im Schlafzimmer betet „Lieber Gott mach mich fromm, dass ich mit der Bombe in den Intercity komm'?" Nicht von ungefähr war im Januar 1965 Nr.1 der Hitparade. „Das ist die Frage aller Fragen." Ich bin aber der festen Überzeugung, dass das Bundesverfassungsgericht diese Frage beantworten sollte und nicht irgendwelche EU-Instanzen. Die rigide Antwort, die der Verfassungsgerichtshof Thüringen am 5. September 2012 gefunden hat, nämlich dass der Kernbereich privater Lebensgestaltung durch ein umfassendes Erhebungsverbot zu schützen ist, will ich als für den Datenschutz Hessens Verantwortlicher nicht kommentieren. Die Entscheidung zeigt wie kontraproduktiv Versuche sind, den Datenschutz „klein“ zu reden.
  5. Der hessische Abwehrkampf gegen eine europäische Totalvereinnahmung des nationalen Datenschutzes fällt in den aktuellen Berichtzeitraum. Auf diese Entwicklung gehe ich heute trotzdem kurz ein. Denn noch können wir verhindern, dass nicht nur dem HDSB, sondern auch dem hessischen Landtag sämtliche datenschutzrechtlichen Befugnisse entzogen werden. Das ist keine Absage an die Europäische Idee. Speziell das hessische Engagement für Europa wird im 40. Tätigkeitsbericht deutlich. Jedenfalls müssen wir uns nicht den Hit von 1968 zu Eigen machen „Der letzte Wal-zer“. Datenschutzrechtlich dürfen wir weiter tanzen. Dass wir dabei das kompetenzgerechte Unionsrecht beachten, versteht sich von selbst.
  6. Dem Unionsrecht verdanken wir die völlige Unabhängigkeit des HDSB auch im privaten Bereich. Die Diskussionen sind Ihnen noch geläufig. Wir haben nicht einfach Vorgaben europäischer Organe vollzogen, sondern sorgfältige verfassungsrechtliche Prüfungen und Abwägungen durchgeführt. Dabei war uns klar, dass beide Bereiche bei allen Synergieeffekten getrennt gesehen werden müssen. „Du lebst in deiner Welt“ war 1972 der Hit von Daisy Door. Zwischen staatlichem Schutzauftrag im Konflikt autonomer Privater und gezieltem staatlichem Eingriff in die informationelle Selbstbestimmung im allgemeinen Gewaltverhältnis besteht ein fundamentaler Unterschied. Die Begründung findet sich im schriftlichen Bericht.
  7. Auf die Unterscheidung von öffentlichem und privatem Bereich achte ich auch besonders, weil uns immer wieder entgegengehalten wird, es handle sich um eine kontinental-europäische Marotte. Abgesehen davon, dass sich in den USA und Großbritannien ein Verwaltungsrecht herausbildet, ist diese Unterscheidung für unsere Verfassungsordnung unverzichtbar, da nur so im privaten Rechtsverkehr Freiräume zu-gestanden werden können, die dem Staat verwehrt bleiben. Gegen diesen Ansatz wird von zwei Seiten Front gemacht. Zum einen wird der Datenschutz als eine Art Verbraucherschutz begriffen. Große Unternehmen werden für ebenso gefährlich gehalten wie der Staat. Aber wie jedenfalls in Hessen eine Datenschutzkultur im öffentlichen Bereich entstanden ist, erkennen gerade die Großunternehmen den wirtschaftlichen Wert des deutschen Datenschutzes. Privacy klingt zwar fast ebenso gut wie compliance und risk management, bleibt aber hinter dem Datenschutz zurück. Wir sollten daher darauf hin arbeiten, dass Datenschutz zu einem amerikanischen Fremdwort für einen anerkannten Importartikel wird. „Datenschutz made in Germany“!
  8. Zu den Vorkommnissen im öffentlichen Bereich verweise ich auf meinen schriftlichen Bericht. Spektakuläre Ereignisse kommen nicht vor. Ein Dauerbrenner ist immer noch die nicht abgeschlossene Löschung von SAP Dateien. Ferner weise ich darauf hin, dass im schulischen Bereich immer wieder versucht wird, den Datenschutz zu umgehen. In der Presse am meisten Aufmerksamkeit erregt hat eine Bagatelle, die in Wahrheit keine Bagatelle ist: Fingerabdrücke als Einlasskontrolle bei Schwimmbädern. Ich hoffe, dass ich nicht näher erläutern muss, weshalb biometrische Daten nur sparsam gefordert werden dürfen. Obendrein sind Fingerabdrücke ohne größeren Aufwand fälschbar. Die Verwendung im öffentlichen Bereich weckt obendrein Begehrlichkeiten Privater. Beispielsweise musste ich einem Holzverarbeitungsbetrieb die Verwendung von Fingerabdrücken als Ersatz für die Stechuhr untersagen, zumal in solchen Betrieben Beschäftigte häufig beschädigte Fingerkuppen aufweisen.
  9. Im privaten Bereich - genauer im nicht-öffentlichen Bereich - galt es, zahlreiche Probleme aufzuarbeiten. Hierzu müssen die Probleme erst einmal ermittelt werden. Zu diesem Zweck habe ich mit Repräsentanten der größten Firmen intensive Gespräche geführt und beispielsweise erreicht, dass die SCHUFA GeoScores nur noch als Ul-tima Ratio anwendet. Dass auch gegen Großunternehmen notfalls „beinhart“ (Torf-rock) vorgegangen wird, hat man zur Kenntnis genommen. Wir sind da eher Rocker als Schlagerfuzzies.
  10. Dass das ggf. auch für Bespitzelungen in Nachbarschafts- oder Beziehungsverhältnissen gilt, ist klar. Die Klage „Du hast mein Herz gebrochen“ (2004; Catterfeld) rechtfertigt nicht den Missbrauch von Videokameras. Die Bekämpfung von Attrappen ist übrigens schon de lege lata möglich.
  11. Größere Probleme bringt die globale Entwicklung des Datenverkehrs mit sich. Zum einen weise ich auf die sozialen Netzwerke hin, über die ich nicht berichte, da ich in Kürze einen Vortrag halten werde mit dem Titel: „Vom sozialen Netzwerk zur asozialen Pöbelherrschaft", den ich dann auf die Homepage stellen werde. Dessen unge-achtet leben wir nun einmal im Zeitalter des Internet datenschutzrechtlich „Jenseits von Eden“ (1974). Ich beteilige mich auch nicht an der Kampagne etwa gegen Facebook, da derartige soziale Netzwerke selbstverständlich auch immense Chancen bieten. Die meisten möchten sich selbst darstellen, möchten viele Freunde haben, nicht nur den im Film verewigten „Ziemlich besten Freund". Auch die Mitglieder des hessischen Landtags haben sich den Wunsch erfüllt, Fernsehstars zu werden, und lassen live Shows in Gestalt der Übertragung von parlamentarischen Sitzungen im (privaten) Fernsehen zu. Hoffen wir, dass die Plenarsitzungen nicht zur Seifenoper werden („Buffy im Banne der Parlamentsdämonen“).
  12. Während man in Hamburg die Transparenz der Verwaltung propagiert und kurz vor der Entdeckung des Verwaltungsplastinats steht, steuern wir sonst auf die Internetwolke zu. Hierzu, d. h, zum cloud computig, weise ich auf die Orientierungshilfe im Tätigkeitsbericht hin. Wolken sollen ja etwas Schönes sein und die Fantasie anregen. Mich erinnern Wolken eher an den OglalaLakota-Häuptling Machpiyaluta = Red Cloud, der neben Crazy Horse zu den bedeutendsten militärischen Führern der Prärie-Indianer zählte. Er vernichtete ein Kommando der US-Armee unter Captain Fetterman (Fetterman Massaker). Es gelang ihm lange die Armee auf Distanz zu halten, bis er die Aussichtslosigkeit des Widerstands einsah und sich arrangierte. Wir müssen uns der cloud bedienen, um sagen zu können: „get off my cloud“.
  13. Meine Hitparadenbetrachtung betraf die letzten 50 Jahre. Hätte ich die Zahl verdoppelt, wäre ich gegenwärtig auf den Januar 1913 gestoßen. Am 12. Januar wurde der Begründer des deutschen Datenschutzes Willi Birkelbach geboren. Ihm widme ich diesen Bericht.
  14. Ich komme zum Schluss. Willi Birkelbach hätte den seriösen Kern meines Berichts erkannt. Ich hoffe, dass Sie, meine sehr verehrten Damen und Herren, ebenfalls das ernsthafte Anliegen meiner Ausführungen registriert haben und meinen Bericht nicht als vorweggenommene Büttenrede interpretieren. Deswegen schlage ich auch nicht vor, die Sitzung mit einer „Polonaise Blankenese“ zu beenden. Bleiben Sie also ruhig sitzen, während ich gehe.

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 30.01.2013

 
 

100. Geburtstag von Willi Birkelbach


Am 12. Januar 2013 wäre Willi Birkelbach,
der erste Hessische Datenschutzbeauftragte, 100 Jahre alt geworden

Unterstützt zunächst von Ministerpräsident Georg August Zinn und dann durch dessen Nachfolger Albert Osswald, erkannte Willi Birkelbach, damals Chef der Staatskanzlei, Ende der 1960iger Jahren weitsichtig, dass sich mit der neuen Informationstechnik die Machtstellung von Staat und großen Organisationen verstärkte und sich neue Formen totalitärer Herrschaft abzeichneten, die den Freiheitsraum des Einzelnen bedrohen könnten. Er war davon überzeugt, dass rechtliche Regeln und öffentliche Kontrolle zwingend erforderlich waren, um diesen Gefahren zu wehren.

Willi Birkelbach war es, der den Entwurf des ersten Hessischen Datenschutzgesetzes, - des weltweit ersten gesetzlichen Regelwerks dieses Typs -, verfasst hat. Der Hessische Landtag hat dann im Oktober 1970 das erste Hessische Datenschutzgesetz verabschiedet. Nach Auffassung von Prof. Ronellenfitsch war es folgerichtig, dass Albert Osswald und mit ihm die Landesregierung Willi Birkelbach dem Landtag zur Wahl zum ersten Hessischen Datenschutzbeauftragten vorschlugen. Wer sonst hätte seine Visionen besser in die Praxis umsetzen können? Willi Birkelbach etablierte eine Institution, für die es kein Vorbild gab. Die heutige Behörde des Hessischen Datenschutzbeauftragten steht auf dem damals geschaffenen Fundament, so Prof. Ronellenfitsch.

Als Willi Birkelbach 1975 aus dem Amt des Hessischen Datenschutzbeauftragten ausschied blieb er dem Thema „Datenschutz“ treu. Bis zu seinem Tod im Jahr 2008 widmete er sich intensiv diesem Thema unter Nutzung moderner Informationstechnologie. Er betrieb seine eigene Homepage und begründete im Alter von 83 Jahren ein Zukunftsforum im Internet.

In seinem Buch „Fazit“ aus dem Jahr 2000, das Willi Birkelbach gemeinsam mit seiner langjährigen Lebensgefährtin Luise Maria Dreßler schrieb, hat er sein ganz persönliches Fazit gezogen, das viel über sein Denken und Wirken aussagt:

„Ein Leben für die Freiheit bleibt nicht folgenlos, sondern verändert ein Stück weit die Gesellschaft.“

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 10.01.2013