Hessen hat seine Vorreiterrolle auf dem Gebiet des Datenschutzes eingebüßt. Die übrigen Länder und der Bund zogen insoweit nach. Mehr noch: Der deutsche, zum Teil auch der hessische Datenschutz sieht sich gegenwärtig dem Vorwurf ausgesetzt, gegen Europarecht zu verstoßen. Bezogen auf die gemeinschaftsrechtlich gebotene Unabhängigkeit des (gesamten) Datenschutzes ist wieder das hessische Vorbild gefragt. Gemeinschaftsrechtliche Bedenken ließen sich unter Wahrung des deutschen Verfassungsrechts ausräumen, wenn dem HDSB unter Beibehaltung seiner Unabhängigkeit auch der private Bereich in der Zuständigkeit des Landes übertragen und dabei die parlamentarische Verantwortlichkeit des HDSB verstärkt würde (Ziff. 1.1).
Durch zahlreiche Gerichtsentscheidungen wurde der Datenschutz im Berichtszeitraum bekräftigt. Besondere Beachtung verdienen die Entscheidungen des Bundesverfassungsgerichts vom 27. Februar 2008 zur "Online-Durchsuchung" und - unmittelbar auf Hessen bezogen - vom 11. März 2008 zu Kfz-Kennzeichenerfassungen. Diese Entscheidungen betreffen die Abwehrkomponente des Datenschutzes gegen staatliche Eingriffe. Die Datenskandale im privaten Bereich haben aber gezeigt, dass vor allem die Schutzkomponente (Datenschutz durch den Staat) an Bedeutung gewinnt (Ziff. 1.2 und 1.3.2).
Dass sich der öffentliche und private Bereich nicht trennen lassen, zeigt sich auf dem Gebiet der Daseinsvorsorge. Hier bedient sich der Staat Privater oder privatrechtlicher Rechtsformen zur Erfüllung öffentlicher Aufgaben. Am Charakter der Aufgaben ändert sich dadurch nichts. Daher fällt die Daseinsvorsorge in den öffentlichen Bereich mit der Rechtsfolge, dass der HDSB für den Datenschutz bei der hessischen Daseinsvorsorge zuständig ist (Ziff. 1.4).
Die Bundesrepublik Deutschland hat u.a. zur Erhöhung der Sicherheitsstandards neue Identitätsdokumente eingeführt (ePass) bzw. plant dieses (ePersonalausweis). Der neue elektronische Personalausweis wird neben der Funktion als Identitätsdokument und der neuen Möglichkeit, Fingerabdrücke zu speichern, gleichzeitig als multifunktionale Bürgerkarte einsetzbar sein. Das Grobkonzept des Bundesinnenministeriums enthält Schwachstellen, weil insbesondere die Risiken der angebotenen Möglichkeiten nicht hinreichend abgeklärt waren. Teilweise sind diese durch das im Dezember verabschiedete Gesetz ausgeräumt (Ziff. 3.1). Wird auf die Sicherheit von Identitätsdokumenten wirklich Wert gelegt, muss die Bundesdruckerei vor der Herstellung von Reisepässen die Signatur prüfen, mit der die Übermittlung der Daten von den Passbehörden an sie authentisiert und gesichert wird (Ziff. 5.2.2).
Die Videoüberwachung wird vielfältig eingesetzt. Sie dient nicht nur der Überwachung von Kriminalitätsschwerpunkten, wie z.B. der Konstablerwache in Frankfurt (Ziff. 4.1.1.2), sondern auch der Verbesserung der Sicherheit von Großveranstaltungen, wie z.B. Bundesligaspielen (Ziff. 4.1.1.1), der Verkehrssteuerung (Ziff. 4.1.1.3) und -überwachung (Ziff. 4.1.1.4) und wird auch in Justizvollzugsanstalten zur Besuchskontrolle eingesetzt (Ziff. 4.2.2). Für einen datenschutzgerechten Einsatz sind dabei je nach dem Zweck und den Nutzenden unterschiedliche Restriktionen zu beachten. Meine Beratung vor dem Einsatz dieser Technik ist zunehmend gefragt.
Werden Informationen ins Internet eingestellt, ohne zu bedenken, dass diese auch schützenswerte personenbezogene Daten enthalten, so kann dem Recht der Betroffenen auf Löschung der Daten nur aufwändig und - wenn die Daten von Suchmaschinen abgegriffen wurden - meist nicht vollständig Rechnung getragen werden (Ziff. 4.1.2). Werden dagegen bereits bei der Konzeption von Verfahren, die der Bereitstellung auch personenbezogener Informationen im Internet dienen, Datenschutzanforderungen berücksichtigt, steht der Nutzung dieses Veröffentlichungsmediums nichts im Weg (Ziff. 6.1).
Bereits mehrfach hatte ich die Novellierung des HSOG angemahnt. Auch der Hessische Gesetzgeber ist aufgefordert, die Rechtsprechung des Bundesverfassungsgerichts insbesondere zum Schutz des Kernbereichs privater Lebensführung und zur Kennzeichenerkennung umzusetzen. Die bisherigen Entwürfe für eine Überarbeitung des HSOG genügen dem nicht (Ziff. 4.3.1).
Die Polizei in Frankfurt speicherte zu einer Vielzahl vorübergehend festgenommener Teilnehmer der Demonstrationen gegen die Einführung von Studiengebühren Daten. Dabei wurden u.a. die Merkmale "gewalttätig" und "politisch links motivierte Straftäter" gespeichert - auch wenn keine konkreten Tatbeteiligungen vorgeworfen werden konnten. Die unzulässigen Datenspeicherungen wurden auf meine Intervention hin gelöscht (Ziff. 4.3.2).
Leider sind die bereits 2004 festgestellten Fehler und Versäumnisse der hessischen Ausländerbehörden bei den Ausschreibungen zum schengenweiten Wiedereinreiseverbot von Ausländern auch heute noch anzutreffen. Dies hat die in der Gemeinsamen Kontrollinstanz für das Schengener Informationssystem verabredete und im Geltungsbereich des Schengenabkommens einheitlich vorgenommene Prüfung auch bei zwei hessischen Ausländerbehörden ergeben (Ziff. 4.4.1).
Im Gesundheitsbereich stehen Datenschutzfragen im Mittelpunkt, weil höchst sensible personenbezogene Daten verarbeitet werden. Bei dem datenschutzgerechten Austausch von Patientendaten zwischen Ärzten, Krankenhäusern und Krankenkassen und bei der Gestaltung der Patienteninformationen und den technischen Lösungen sind komplexe Strukturen und Verantwortlichkeiten zu berücksichtigen. Umfassende Beratungen waren deshalb beim Aufbau einrichtungsübergreifender elektronischer Fallakten (Ziff. 4.7.1) und sicheren Netzwerken zwischen Ärzten und Krankenhäusern ( Ziff. 4.7.2) sowie bei der zunehmenden Kooperation zwischen Medizinischen Versorgungszentren und Kliniken (Ziff. 4.7.4) erforderlich. Auch bei der Erstellung des Datenschutzkonzepts für einen europäischen Forschungsverbund zu speziellen Lungenerkrankungen fand intensive Beratung statt (Ziff. 4.7.3).
Ein Dauerbrenner sind die datenschutzrechtlichen Fragestellungen, die im Zusammenhang mit der Gewährung von Sozialleistungen entstehen, sei es zur Verhältnismäßigkeit von Maßnahmen zur Bekämpfung von Leistungsmissbrauch (Ziff. 4.8.1), der Auskunftspflichten gegenüber Sozialbehörden (Ziff. 4.8.2 - Träger der freien Wohlfahrtspflege gegenüber Hartz IV-Stellen; Ziff. 4.10 - Finanzbehörden gegenüber Arbeitslosengeld II-Stellen) oder den Nachweispflichten für eine Rundfunkgebührenbefreiung (Ziff. 7.1.1).
Melderegisterauskünfte als Sammelauskünfte an Adresshändler sind bei der derzeitigen Rechtslage nur schwer zu begrenzen. Zwar dürfen schon heute Sammelauskünfte nur erteilt werden, wenn schutzwürdige Belange Betroffener nicht beeinträchtigt werden. Dies ist in der Praxis nicht zu gewährleisten, weil nicht erkennbar ist für welche Zwecke und ggf. für welche Auftraggeber die Auskünfte begehrt werden. Deshalb sind dringend Änderungen im Hessischen Meldegesetz erforderlich. Die um Sammelauskünfte Ersuchenden müssen zur Angabe des Auftraggebers und des Zwecks und zur Einhaltung der Zweckbindung verpflichtet und für die Betroffenen muss mindestens ein Widerspruchsrecht gegen die Datenweitergabe zu Direktwerbezwecken vorgesehen werden (Ziff. 5.3).
