20. Tätigkeitsbericht 1999 -Inhaltsverzeichnis

1. Alles schon einmal da gewesen
2. Die Dienststelle

1. Alles schon einmal da gewesen

Der Datenschutz in Baden-Württemberg kann in diesen Tagen ein Jubiläum feiern. Am 29. November 1979 hat der Landtag das erste Landesdatenschutzgesetz beschlossen. Baden-Württemberg war damals keineswegs Vorreiter, sondern lediglich Vorletzter. Bis auf ein Bundesland hatten alle anderen Länder der alten Bundesrepublik ihre Landesdatenschutzgesetze zuvor bereits erlassen. Auch der Inhalt des neuen Gesetzes war nicht gerade bahnbrechend. Vielmehr benutzte man im Wesentlichen die bereits vorhandenen Datenschutzgesetze als Vorlage. Nichts Revolutionäres also, und gleichwohl begann damit eine kleine Revolution in der Verwaltung in Baden-Württemberg. Ausgelöst wurde sie durch zwei im Landesdatenschutzgesetz getroffene Entscheidungen: Während bis dahin in der Verwaltung beim Umgang mit personenbezogenen Daten erlaubt war, was nicht ausdrücklich verboten oder sonst gesetzlich reglementiert war, wurde dieser Grundsatz von da an umgedreht. Das Landesdatenschutzgesetz ließ in seinem Anwendungsbereich eine Datenverarbeitung nur zu, wenn eine Rechtsvorschrift sie erlaubt oder der Betroffene dazu sein Einverständnis gegeben hat. Dies war eine Entscheidung, die bis heute leider Viele noch nicht hinreichend verinnerlicht haben, wie wir immer wieder beim Kontakt mit öffentlichen Stellen feststellen müssen. Noch mehr bewirkte freilich eine andere Entscheidung des ersten Landesdatenschutzgesetzes, nämlich die Einrichtung einer unabhängigen Datenschutzkontrolle, also meines Amtes. Während man es bis dahin nicht so genau mit der Umsetzung von teilweise sehr viel älteren gesetzlichen Regelungen über den Umgang mit personenbezogenen Daten nahm, weil dies weitgehend unkontrolliert blieb, gab es jetzt eine Instanz, die sich um die Einhaltung aller Datenschutzregelungen, ganz gleich, wann und wo sie erlassen worden waren, kümmerte und dann auch Gesetzesverstöße beim Namen nannte. Die Reaktion ließ nicht lange auf sich warten. Schon im Jahr 1981 war die erste Änderung des Landesdatenschutzgesetzes mit einer Beschränkung der Kontrollzuständigkeit des Landesbeauftragten für den Datenschutz fällig. Der Datenschutz geriet in dieser Zeit immer mehr in die Defensive. Offensiver Datenschutz war verpönt. Ein Rollback drohte.

Eine neue Situation entstand durch das am 15. Dezember 1983 ergangene Volkszählungsurteil des Bundesverfassungsgerichts. Mit diesem Urteil wurde der Datenschutz auch in Baden-Württemberg gewissermaßen hoffähig, denn darin stellte das Gericht fest, dass Datenschutz nicht nur eine Frage der politischen Opportunität, sondern ein Verfassungsgebot ist. Die zentralen Aussagen dieses Urteils waren: Jeder hat laut unserer Verfassung das Recht, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen. Eingriffe in dieses Recht darf nur der Gesetzgeber zulassen. Er darf dies nur im überwiegenden Allgemeininteresse unter Berücksichtigung der Grundsätze der Verhältnismäßigkeit und Normenklarheit tun. Zweckbindung, Vorrang der Datenerhebung beim Betroffenen, Transparenz der Datenverarbeitung und effektive Kontrolle der Datenverarbeitung durch unabhängige Datenschutzbeauftragte waren weitere Forderungen, denen der Gesetzgeber von da an Rechnung zu tragen hatte. Damit war aber schnell klar, dass das erste Landesdatenschutzgesetz reformbedürftig war. Bis es dann allerdings so weit war, darüber vergingen nahezu acht Jahre. Im Land spielte man während dieser Zeit nicht "Warten auf Godot" von Samuel Beckett, sondern "Warten auf Bonn", eine Gemeinschaftsproduktion bekannter und nicht bekannter Autoren. Erst als man sich dort auf ein neues Bundesdatenschutzgesetz geeinigt hatte, beschloss auch in Baden-Württemberg der Landtag am 27. Mai 1991 ein neues Landesdatenschutzgesetz. Während in anderen Bereichen Baden-Württemberg zu Recht nach Möglichkeit Spitze sein will, entwickelten Landesregierung und Landtag beim zweiten Landesdatenschutzgesetz nicht diesen Ehrgeiz. Man hielt sich zurück und beschränkte sich im Wesentlichen darauf, nur die Regelungen zu treffen, die nach der Rechtsprechung des Bundesverfassungsgerichts zum Recht auf informationelle Selbstbestimmung unbedingt getroffen werden mussten.

Weil Bund und Länder verpflichtet sind, das Datenschutzrecht der EG-Datenschutzrichtlinie vom 24. Oktober 1995 anzupassen, steht eine erneute Novellierung des Landesdatenschutzgesetzes vor der Tür. Die Arbeiten an diesem Gesetzentwurf sind nach Auskunft des Innenministeriums weitgehend abgeschlossen, so dass sich voraussichtlich in Bälde der Landtag damit zu befassen hat. Wie bei den beiden vorangegangenen Novellierungen will die Landesregierung sich offensichtlich auch jetzt im Wesentlichen damit begnügen, das vorzuschlagen, was die EG-Datenschutzrichtlinie unumgänglich fordert. Allerdings will man - im Unterschied zur letzten Novellierung - diesmal nicht warten, bis das Bundesdatenschutzgesetz geändert worden ist. Obwohl es in der Begründung des Kabinettsentwurfs noch hieß, es sei unvermeidlich, nach einer Novellierung des Bundesdatenschutzgesetzes zu prüfen, ob das Landesdatenschutzgesetz erneut angepasst werden müsse, vor allem im Interesse der Erhaltung einer möglichst weit gehenden Rechtseinheit im allgemeinen Datenschutzrecht, hat man es offenbar eilig, noch vor dem Bund zum Zuge zu kommen. Hängt dies möglicherweise damit zusammen, dass die zuletzt bekannt gewordene Bundesfassung dem Anliegen des Datenschutzes besser gerecht wird und die Landesregierung mit ihrem Entwurf der Marke "light" hier in Rechtfertigungszwang käme? Nachdem die Umsetzung der EG-Datenschutzrichtlinie nun schon mehr als ein Jahr überfällig ist, hätte man sich jetzt auch noch die Zeit nehmen und darauf warten können, bis die Änderungen am Bundesdatenschutzgesetz feststehen. Denn den von der Landesregierung erwähnten Gesichtspunkt der Rechtseinheit im allgemeinen Datenschutzrecht halte ich in der Tat für ein äußerst anstrebenswertes Ziel, dem in anderen Bereichen, wie etwa dem allgemeinen Verwaltungsverfahrensrecht, bislang eine weit stärkere Bedeutung beigemessen worden ist. Dass auch nur annähernd zeitnah mit einer Anpassung des Landes- an das voraussichtlich nur wenige Monate später in Kraft tretende Bundesdatenschutzgesetz zu rechnen sein wird, dürften nur ausgemachte Optimisten annehmen.

Wäre die geplante Änderung des Landesdatenschutzgesetzes der "große Wurf", könnte man sich mit der Kritik an dem Sonderweg ja noch zurückhalten. Das ist indes nicht der Fall. Man begnügt sich vielmehr weitgehend mit einem Einarbeiten dessen, was das Europarecht vorgegeben hat. Dass das Gesetz durch eine solche Flickschusterei lesbarer und verständlicher würde, war von vornherein nicht zu erwarten. Hier setzt aber einer der Hauptkritikpunkte an: Gesetze, die nur schwer zu lesen und zu verstehen sind, haben wenig Chancen, in der Praxis auch richtig angewendet zu werden. Nicht umsonst ist das Landesdatenschutzgesetz selbst für viele gestandene Verwaltungspraktiker nach wie vor ein Buch mit sieben Siegeln. Ich fordere deshalb schon seit langem, das Gesetz von Grund auf zu überarbeiten und es sowohl vom Aufbau wie von der Sprache her so zu gestalten, dass jeder damit umgehen kann. Wie heißt es so schön in den Richtlinien der Landesregierung zum Erlass von Vorschriften: "Es ist das Ziel der Landesregierung, das Recht zu vereinfachen ... Deshalb hat jeder, der bei der Vorbereitung von Gesetzen ... beteiligt ist, besonders auf die ... Verständlichkeit einer Regelung zu achten". Ein Blick in die eigenen Richtlinien wäre manches Mal nicht verkehrt.

Aber nicht nur mit der Darstellung des Datenschutzrechts im Gesamten muss man unzufrieden sein. Kritik fordern auch einzelne getroffene und nicht getroffene Regelungen heraus. Hier nur einige wenige, aus meiner Sicht hervorzuhebende Punkte:

• Zunehmend beziehen öffentliche Stellen private Unternehmen in ihre Aufgabenerledigung ein. Soweit diese Unternehmen dabei zur Erfüllung ihres Auftrags auch personenbezogene Daten verarbeiten müssen, müssen sie nur die für private Unternehmen geltenden Bestimmungen des Bundesdatenschutzgesetzes beachten. Dies ist aber nicht einzusehen. Warum soll beispielsweise ein Ingenieurbüro, das im Auftrag einer Kommune das von dieser nach dem Wasserrecht zu führende Indirekt-Einleiter-Kataster erstellt, beim Umgang mit den dazu benötigten Bürgerdaten sich nicht an die gleichen Datenschutzbestimmungen halten müssen, die auch für die Kommune gelten würden, wenn sie das Kataster mit eigenen Kräften erstellen würde? Dies zu regeln, wurde abgelehnt.
• Vor allem im kommunalen Bereich werden immer häufiger bislang als Eigenbetrieb geführte Einrichtungen, z. B. Krankenhäuser, in private, aber nach wie vor im Besitz der Kommune verbleibende Gesellschaften umgewandelt. Für diese gilt dann, wie für andere private Gesellschaften auch, das private Datenschutzrecht des Bundesdatenschutzgesetzes. So weit, so gut. Aber warum soll der Landesbeauftragte für den Datenschutz nicht weiterhin berechtigt sein, die Einhaltung der Datenschutzbestimmungen zu kontrollieren? Außer in Baden-Württemberg ist es in keinem anderen Land so geregelt, dass dessen Kontrollbefugnis mit der lediglich formellen Privatisierung öffentlicher Einrichtungen verloren geht.
• Moderne Speicher- und Verarbeitungsmedien, insbesondere Chipkarten, halten in vielen Bereichen des täglichen Lebens Einzug. Auf die damit verbundenen datenschutzrelevanten Fragen gibt das Gesetz bisher keine Antwort. Dies will der Gesetzentwurf zwar ändern. Was an Regelungen allerdings vorgesehen ist, ist bei weitem zu wenig. Hier hätte man sich ein Beispiel am aktuellen Entwurf des Bundesdatenschutzgesetzes nehmen können, der auf die wesentlichen Probleme eingeht. Aber offenbar ist man nicht bereit, die Risiken, die der Einsatz solcher Chipkarten für das Persönlichkeitsrecht des Einzelnen mit sich bringt, in der erforderlichen Weise zu begrenzen.
• Werden personenbezogene Daten automatisiert verarbeitet, stellen sich eine Reihe sicherheitstechnischer Fragen. Zu dem, was hier zum Schutz der Daten zu tun ist, verharrt der Gesetzentwurf in den Ansätzen, die noch unter den Bedingungen der Großrechnertechnologie entwickelt wurden. Und das, obwohl das Land doch gerade im technologischen Bereich immer Spitze sein will! Es gibt mittlerweile bundesweit akzeptierte Standards, denen man sich, obwohl wir hier ganz konkrete Vorschläge gemacht haben, aber partout nicht annähern will. Warum, bleibt schleierhaft.
• Eines der aus meiner Sicht schwerwiegendsten Versäumnisse des Gesetzentwurfs besteht darin, dass man die Behörden nicht zur Bestellung örtlicher Datenschutzbeauftragter verpflichtet. Jeder Behörde soll es selbst überlassen bleiben, zu entscheiden, ob sie das will oder nicht. Wie das in der Praxis aussehen wird, kann man sich unschwer vorstellen. Folge ist, dass die Datenschutzprobleme nicht dort gelöst werden, wo dies am effektivsten wäre, nämlich vor Ort.

Dies sind, wie gesagt, nur Ausschnitte aus einem ganzen Katalog von Einwänden und Anregungen, die ich der Landesregierung vorgetragen habe. So, wie es aussieht, wird dem wohl weitgehend nicht gefolgt werden. Ich halte das im Sinne eines wirkungsvollen Datenschutzes für außerordentlich bedauerlich.

Business as usual. So könnte man in etwa die Arbeit meiner Dienststelle im Berichtsjahr umschreiben. Wie die Jahre zuvor haben wir dabei gute und schlechte Erfahrungen gemacht, sind auf Verständnis und Kooperationsbereitschaft gestoßen, mussten hin und wieder aber auch mangelhafte Unterstützung zur Kenntnis nehmen und deshalb sogar die eine oder andere Beanstandung aussprechen. Das Justizministerium ging dabei, wie ich an anderer Stelle des Berichts ausführen werde (vgl. 4. Teil, 1. Abschnitt), mit schlechtem Beispiel voran. Wir waren bestrebt, uns möglichst oft vor Ort zu informieren und dort auch zu kontrollieren, rund 35 Kontroll- und Informationsbesuche kamen so zusammen. Mehr war mit dem Personalbestand meiner Dienststelle schlicht und einfach nicht möglich. Immer deutlicher zeigt sich, dass sie hoffnungslos unterbesetzt ist. Dabei beweisen allein schon die Ergebnisse unserer Kontrollen, dass insbesondere der technisch-organisatorische Datenschutz und das Bewusstsein um seine Notwendigkeit in der Praxis der Verwaltung im Land nach wie vor unterentwickelt ist. Dies ist umso bedenklicher, als gleichzeitig der Einsatz der modernen Informations- und Kommunikationstechnik bei den öffentlichen Stellen in den letzten Jahren immer mehr zugenommen hat und ganz sicher weiter zunehmen wird. Kontrollen und vor allem auch qualifizierte Beratungen sind deshalb notwendiger denn je. Ich meine, wenn man schon den Einsatz der EDV in Verwaltung und Justiz so forciert, wie es derzeit geschieht, und dafür erhebliche Mittel aufwendet, dann muss man auch dafür sorgen, dass die notwendigen technischen und organisatorischen Rahmenbedingungen vorhanden sind. Denn nur dann ist es hinnehmbar, die mit dem Einsatz dieser Technik verbundenen Risiken einzugehen. Gerade Beratungen im Technikbereich haben uns im vergangenen Jahr sehr stark beschäftigt und viel Zeit in Anspruch genommen. Meine Dienststelle arbeitet u. a. im Arbeitskreis Informationstechnik der Ministerien, im Lenkungsausschuss "Einheitliches Personalverwaltungssystem" und im Arbeitskreis "Nutzung neuer Medien im Zulassungsverfahren" des Bund-Länder-Fachausschusses für Angelegenheiten der Zulassung von Fahrzeugen zum Straßenverkehr mit. Wir beraten das Landeskriminalamt bei der Neugestaltung der automatisierten Datenverarbeitung der Polizei, Ministerien bei der Auslagerung (Outsourcing) ihrer Bürokommunikation auf ein privates Unternehmen und haben u. a. beratende Stellungnahmen zur Networking-Konzeption der Landesverwaltung, zur Einführung eines Landesstandards zur Verschlüsselung elektronischer Post und zur Weiterentwicklung des Landesverwaltungsnetzes abgegeben. Dies sind nur einige wenige Fälle, in denen der technische Sachverstand meiner Dienststelle gefordert war. Hinzu kommen noch Kontakte z. B. mit dem Städtetag wegen der Frage der Internet-Nutzung durch Kommunen, aber auch mit einer ganzen Reihe von Städten im Zusammenhang mit der Einführung dort geplanter elektronischer Bürgerdienste. Diese Aufzählung ließe sich noch erheblich verlängern. Eine solche Beratungstätigkeit ist eminent wichtig, nicht zuletzt weil derzeit in vielen Bereichen Weichen gestellt werden, die für die Zukunft richtungsweisend sind. Sie müsste eigentlich weiter intensiviert werden. Die Bereitschaft, die Beratung einzufordern und anzunehmen, ist zunehmend da. Ich habe deshalb das Innenministerium bei der Aufstellung eines Entwurfs eines Haushaltsplans für die Jahre 2000/2001 gebeten, dort für mein Amt eine neue Stelle für einen Informatiker vorzusehen. Das Innenministerium zeigte zwar Verständnis für mein Anliegen. Dieses Verständnis schlug sich in dem von der Landesregierung beschlossenen Entwurf eines Haushaltsplans bisher leider nicht nieder. Ich hoffe nicht, dass dies das letzte Wort ist. Das Land Baden-Württemberg soll nach dem Willen der Landesregierung beim Einsatz der neuen Medien eine Führungsrolle übernehmen. Unabdingbare Voraussetzung dafür ist aber, wie auch Vertreter der Landesregierung immer wieder betonen, dass die notwendige Datensicherheit gewährleistet ist. Dazu ist jedoch eine effektive unabhängige Datenschutzkontrolle, die in der Lage ist, sowohl zu kontrollieren als auch zu beraten, unerlässlich.