22. Tätigkeitsbericht 2001 -Inhaltsverzeichnis

1. Datenschutz in stürmischem Fahrwasser

2. Das Amt

3. Erste Erfahrungen mit dem geänderten Landesdatenschutzgesetz
3.1 Der behördliche Datenschutzbeauftragte
3.2 Der Wegfall des Datenschutzregisters
3.3 Die Beteiligung am Erlass von Rechts- und Verwaltungsvorschriften

Vor etwas mehr als 31 Jahren verabschiedete der Hessische Landtag das erste Datenschutzgesetz und gab damit den Startschuss für die moderne Datenschutzgesetzgebung in der Bundesrepublik Deutschland. Bis zum Jahr 1980 verfügten dann sowohl der Bund als auch alle Bundesländer der alten Bundesrepublik über Datenschutzgesetze. Einen weiteren, für die Fortentwicklung des Datenschutzes äußerst wichtigen Eckpunkt setzte im Jahr 1983 das Bundesverfassungsgericht. Nach heftigen Auseinandersetzungen über eine geplante Volkszählung stellte das höchste deutsche Gericht damals klar, dass der Datenschutz den Rang eines Grundrechts besitzt und "eine elementare Funktionsbedingung eines auf Handlungs- und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens" darstellt. In der Folgezeit bemühten sich die Gesetzgeber im Bund und in den Ländern, den vom Bundesverfassungsgericht festgestellten Anforderungen an den Schutz des Grundrechts auf Datenschutz gerecht zu werden. Unter anderem kam es bis Anfang der 90er Jahre zur Novellierung sowohl des Bundesdatenschutzgesetzes als auch der Landesdatenschutzgesetze. Keine Frage war auch, dass die neuen Bundesländer sofort nach der Wiedervereinigung als Reaktion auf die schlimmen Erfahrungen mit den berüchtigten Methoden der Stasi Datenschutzgesetze erließen und sogar in ihren Verfassungen ausdrücklich den Grundrechtscharakter des Datenschutzes bestätigten. Damit nicht genug, mit ihrer Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 gab die Europäische Gemeinschaft einen weiteren Anstoß zur Stärkung des Datenschutzes, diesmal sogar europaweit. Die Umsetzung dieser Richtlinie in das deutsche Datenschutzrecht ging freilich nicht ganz reibungslos vonstatten. Das zeigt sich allein schon daran, dass es bis auf zwei Bundesländer allen anderen, und vor allem auch dem Bund, nicht gelang, die gebotene Gesetzesanpassung fristgerecht abzuschließen. Aber immerhin, sie haben es schließlich doch geschafft.

Betrachtet man diesen hier nur skizzenhaft dargestellten äußeren Ablauf der Geschichte der Datenschutzgesetzgebung, könnte man meinen, dass der Datenschutz bei uns zu etwas ganz Selbstverständlichem geworden ist, dessen Notwendigkeit und Sinnhaftigkeit von niemandem in Frage gestellt wird. Wie aber gerade die Reaktionen auf die schrecklichen Ereignisse des 11. September 2001 in den USA zeigten, ist dem offensichtlich beileibe nicht so. Wie sonst lässt sich erklären, dass schon unmittelbar danach gleichsam als erste zu veranlassende Maßnahme im Kampf gegen den Terrorismus Berufene und Unberufene pauschal eine Lockerung des Datenschutzes forderten. "Wir haben uns offensichtlich zu viel Datenschutz gegönnt", solche und ähnliche Äußerungen waren in allen Medien zu lesen und zu hören. Altbekannte platte Sprüche wie "Datenschutz darf nicht zum Täterschutz werden" machten wieder einmal die Runde. Offenbar besonders überzeugend fand der ein oder andere in Talkshows und anderswo die Parole "Menschenschutz geht vor Datenschutz" und bewies damit lediglich, dass er offensichtlich immer noch nicht begriffen hat, worum es beim Datenschutz geht. Personenbezogene Daten werden schließlich nicht um ihrer selbst, sondern um der Menschen willen geschützt, auf die sie sich beziehen. Datenschutz ist also Menschenschutz. Das zugegebenermaßen auf den ersten Blick für nicht mit der Materie Vertraute eingängige Wortspiel macht also in Wirklichkeit keinerlei Sinn. Für jemanden, der wie ich die Datenschutzdiskussion in den letzten 20 Jahren miterlebt und -erlitten hat, war dies alles keine Überraschung. Zu keiner Zeit war der Datenschutz völlig unangefochten. Schon immer gab es mehr oder weniger stark ausgeprägte Vorbehalte. Datenschutz bedeutet schließlich in letzter Konsequenz Beschränkung der Informationsbeschaffung und -verwendung, und wer verzichtet darauf schon gerne. Nicht umsonst waren nahezu alle Gesetzesvorhaben und andere Maßnahmen, die eine Stärkung des Datenschutzes zum Ziel hatten, im politischen Raum heftig umstritten. Man möge sich nur an die Auseinandersetzung über den Datenschutz in den 80er Jahren erinnern. Ohne die Autorität des Bundesverfassungsgerichts und das von dort drohende Verdikt der Verfassungswidrigkeit hätte die Datenschutzgesetzgebung nicht den Stand erreichen können, den sie heute hat. Es kann deshalb nicht verwundern, dass in Krisensituationen und nach schlimmen Vorfällen in wenig schöner Regelmäßigkeit als erste Maßnahme der Datenschutz aufs Korn genommen und nach einer Erweiterung der staatlichen Einsatzbefugnisse und damit nach einer Einschränkung des Datenschutzes gerufen wird. Dies klingt für die Wähler einleuchtend, kostet meist wenig und zeigt, dass man bereit ist etwas zu tun. Freilich, so massiv wie nach dem 11. September 2001 ist der Datenschutz noch selten von einem breiten politischen Spektrum zum Buhmann gemacht und seine Daseinsberechtigung in Frage gestellt worden.

Erfreulicherweise hat sich nach dem Bekanntwerden der ersten Forderungskataloge und Wunschlisten gezeigt, dass diese Attacken auf eine wichtige Errungenschaft unseres freiheitlich-demokratischen Rechtsstaats keineswegs auf ungeteilten Beifall gestoßen sind. Was da Bundes- und Landespolitiker in gar nicht so edlem Wettstreit forderten und vorschlugen, ging dann doch zu Recht vielen zu weit. Anstatt zuerst einmal sorgfältig und zielgerichtet zu prüfen, was wirklich zur Terrorismusbekämpfung notwendig ist, musste man den Eindruck gewinnen, dass ohne Rücksicht auf das in unserer Verfassung verankerte Übermaßverbot sofort all das vorgeschlagen wurde, was technisch möglich erscheint. Mitunter segelten unter der Flagge Terrorismusbekämpfung auch Forderungen, die damit nun wirklich nichts mehr zu tun haben. Ein besonders signifikantes Beispiel dafür ist die im Entschließungsantrag der Länder Baden-Württemberg, Bayern und Hessen im Bundesrat zur wirksamen Bekämpfung des internationalen Terrorismus und Extremismus (BR-Drucksache 807/01) enthaltene Forderung nach Abschaffung des Richtervorbehalts bei der Anordnung einer Genom-Analyse von Tatspuren. Inzwischen scheint es aber so, dass sich die Hektik und Aufgeregtheiten der ersten Tage und Wochen nach dem 11. September 2001 allmählich legen. So sieht der vor kurzem von der Bundesregierung beschlossene Entwurf eines Gesetzes zur Bekämpfung des internationalen Terrorismus zwar immer noch Regelungen vor, die unter rechtsstaatlichen Aspekten nicht akzeptabel sind, aber immerhin enthält er schon einige Verbesserungen gegenüber dem ersten Entwurf des Bundesinnenministeriums. Bleibt zu hoffen, da weiß ich mich mit meinen Kollegen im Bund und in den Ländern einig, dass der Gesetzentwurf einer gründlichen parlamentarischen Beratung unterzogen wird und am Ende eine Fassung findet, die den Prinzipien Rechnung trägt, die unseren Rechtsstaat prägen. Geschieht dies, dann wäre dies ein wichtiger Schritt zur Stabilisierung des Datenschutzes in der Bundesrepublik.

Sensationen und sonstige spektakuläre Ereignisse sind auch in diesem Jahr nicht zu vermelden. Für mich steht nach wie vor der einzelne Bürger mit seinen Sorgen und Anliegen im Vordergrund. Seinen Klagen nachzugehen und seine Fragen zu beantworten, also die Funktion eines Ombudsmanns in Sachen Datenschutz wahrzunehmen, bildet deshalb immer noch einen Schwerpunkt der Aktivitäten meines Amts. Dabei ist festzustellen, dass der Landesbeauftragte für den Datenschutz wie eh und je für viele Bürger die Stelle ist, an die man sich in Sachen Datenschutz wendet, ganz gleich, ob es sich um Datenschutz im öffentlichen oder im nicht-öffentlichen Bereich handelt. Dies ist aus meiner Sicht neben einer Reihe weiterer Gründe ein wichtiger Aspekt, der dafür spricht, die Datenschutzkontrolle in eine Hand zu legen. Der Trend in der Bundesrepublik Deutschland geht, nicht zuletzt von der EG-Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 gefordert, ohnehin in diese Richtung. Ich bin überzeugt, dass auch Baden-Württemberg nicht umhin kommen wird, sich diesem Trend anzuschließen. Die Beschäftigung mit Bürgereingaben nimmt u. a. auch deshalb einen besonderen Stellenwert ein, weil ich dabei gewissermaßen aus erster Hand erfahre, wo den Bürger der Schuh drückt und wie Behörden mit ihm und seinen Daten umgehen. Wichtig ist bei dieser Arbeit, dass die beteiligten Behörden auch bereit sind, meinem Amt zügig die Auskünfte zu geben, die es benötigt, um dem Bürgeranliegen nachzugehen. Leider tat sich damit die ein oder andere Behörde schwer, und zwar auch solche, von denen man ein solches Verhalten nun wirklich nicht erwarten konnte. So musste ich neben der Gemeinde Baindt und der Stadt Herbolzheim die Stadt Stuttgart und sogar auch die Rechtsanwaltskammer Stuttgart wegen einer Verletzung ihrer nach § 29 LDSG mir gegenüber bestehenden Unterstützungspflicht förmlich beanstanden. Das waren erfreulicherweise krasse Ausnahmen, in aller Regel konnte ich mich nicht über mangelnde Kooperationsbereitschaft beklagen.

Nicht alles lässt sich im schriftlichen Verfahren oder in Besprechungen erledigen, Besuche vor Ort sind nach wie vor unverzichtbar. Trotz des damit verbundenen Aufwands war es im vergangenen Jahr immerhin möglich, über 30 Kontroll- und Informationsbesuche bei den unterschiedlichsten Behörden und anderen öffentlichen Stellen durchzuführen.

Wie schon in den vergangenen Jahren nahm die Beteiligung am Erlass von Rechts- und Verwaltungsvorschriften und die Beratung von öffentlichen Stellen einen breiten Raum ein. Sei es bei der Erarbeitung des von der Landesregierung angestrebten Einheitlichen Personalverwaltungssystems des Landes, der weiteren Entwicklung der e-Bürgerdienste, dem Projekt "Schulverwaltung ans Netz", bei Forschungsvorhaben, der Einrichtung von klinischen Tumordokumentationen oder bei zahlreichen anderen Projekten, überall bemühte sich mein Amt dem vielfältigen Beratungsbedarf gerecht zu werden. Last but not least beteiligten sich Mitarbeiter meines Amts an einer ganzen Reihe von Fortbildungs- und Informationsveranstaltungen und leisteten auf diese Weise wichtige Beiträge für einen mit Augenmaß praktizierten Datenschutz.

Allen diesen Aktivitäten, so notwendig und wünschenswert sie auch sind, setzt die geringe Personalausstattung meines Amtes Grenzen. Obwohl sich bei der Aussprache über meinen letzten Tätigkeitsbericht im Landtag alle Fraktionen einig waren, dass eine Personalverstärkung notwendig ist und selbst die Regierungskoalition in ihrer Koalitionsvereinbarung eine Stellenausweitung vorgesehen hatte, weist auch der Haushaltsplan-Entwurf 2002/2003 keine einzige neue Stelle auf. Dabei wäre schon ein zusätzlicher Mitarbeiter kaum mehr als der berühmte Tropfen auf den heißen Stein, so groß ist der Bedarf, wie nicht zuletzt auch der Vergleich mit der Personalausstattung meiner Kolleginnen und Kollegen in anderen vergleichbaren Bundesländern zeigt. Im Übrigen: Nicht nur dass die moderne Informations- und Kommunikationstechnik in steigendem Maße in der öffentlichen Verwaltung eingesetzt wird und damit der Beratungs- und Kontrollbedarf immer mehr zunimmt, auch die Maßnahmen zur Terrorismusbekämpfung erfordern ein aktives Mitwirken meines Amts. Wenn schon die Sicherheitsbehörden neue Datenverarbeitungsbefugnisse erhalten sollen und zum Beispiel im Rahmen der Rasterfahndung zahlreiche unverdächtige Personen in die Ermittlungen einbezogen werden, dann muss bei alledem jedenfalls eine Beratung und Kontrolle durch den Datenschutzbeauftragten möglich sein, die diese Bezeichnung auch verdient. Durchaus zu Recht verstärkt die Landesregierung aus diesem Anlass die Sicherheitsbehörden und stattet sie mit moderner Technik aus. Dem muss aber auf der anderen Seite auch eine zumindest personelle Verstärkung meines Amts folgen, das diese Maßnahmen ja schließlich kritisch zu begleiten hat.

Die durch europarechtliche Vorgaben veranlasste Novellierung des Landesdatenschutzgesetzes (LDSG) liegt jetzt gut ein Jahr zurück. Die ursprünglichen Befürchtungen, dass die vielen Änderungen im Gesetzestext in der behördlichen Praxis zu Anwendungsproblemen führen könnten, haben sich offenbar nicht bestätigt. Mir sind jedenfalls kaum Anfragen bekannt, in denen um eine Erläuterung der neuen Rechtslage gebeten worden wäre. Auch eine vom Städtetag Baden-Württemberg bei seinen Mitgliedern durchgeführte Umfrage erweckte nicht den Eindruck, dass man sich mit den neuen Regelungen sonderlich schwer tut. Dies kann kaum verwundern, da ja mit der Novelle weitgehend nur alter Wein in neue Schläuche gefüllt wurde - ein Umstand, den ich damals schon beklagt hatte.

3.1 Der behördliche Datenschutzbeauftragte

Eine nicht unbedeutende Änderung erfuhr das Landesdatenschutzgesetz allerdings dadurch, dass dort erstmals der behördliche Datenschutzbeauftragte verankert wurde. Auch wenn der Landtag die Bestellung eines Datenschutzbeauftragten nicht wie von mir gewünscht zur Pflicht gemacht hat, hat die Neuregelung wenigstens bewirkt, dass das Thema 'Behördlicher Datenschutzbeauftragter' seitdem ins Bewusstsein der Verantwortlichen gedrungen ist. Nach meinem Eindruck ist die Bereitschaft, den Datenschutz vor Ort zu stärken, deutlich gestiegen und hat auch schon Früchte getragen. Nicht zuletzt ist dies auch das Verdienst des Innenministeriums, das nicht nur mit gutem Beispiel vorangegangen ist und schnell einen eigenen Datenschutzbeauftragten bestellt hat, sondern engagiert bei staatlichen und kommunalen Behörden für die Bestellung behördlicher Datenschutzbeauftragter geworben hat.

Einer Übersicht des Städtetags Baden-Württemberg vom September 2000 zufolge hatten zu diesem Zeitpunkt 26 v. H. der Mitglieder, die an der Umfrage teilgenommen hatten, bereits einen eigenen Datenschutzbeauftragten bestellt, 19 v. H. beabsichtigten dies und 55 v. H. hatten dies nicht vor. Seitdem soll die Zahl kommunaler Datenschutzbeauftragter deutlich zugenommen haben, wobei mir konkrete Zahlen nicht vorliegen. Allerdings fällt unangenehm auf, dass es gerade auch Stadtkreise, die eigentlich die personellen Kapazitäten hätten und bei denen dies allein aufgrund des Umfangs der verarbeiteten Daten am ehesten erforderlich wäre, bisher nicht für nötig empfunden haben, für einen wirksamen Datenschutz vor Ort zu sorgen. Und schlicht für unverständlich halte ich es, dass gerade die Landeshauptstadt Stuttgart, der im kommunalen Bereich eigentlich eine Vorreiterrolle zukommt, hier eher als negatives Vorbild angeführt werden muss. Ich habe mich vor kurzem in dieser Sache unmittelbar an die Oberbürgermeister der betroffenen Städte gewandt, um vielleicht doch noch einen Sinneswandel zu erreichen. Aber auch in der Landesverwaltung gibt es hartleibige Behörden, die partout nicht einsehen wollen, dass die Bestellung eines Datenschutzbeauftragten auch in ihrem ureigensten Interesse liegt. Herausragendes Beispiel dafür ist das Landesamt für Besoldung und Versorgung Baden-Württemberg, das doch wahrlich in erheblichem Umfang personenbezogene Daten von großer Sensibilität zu verarbeiten hat.

Insbesondere von kommunaler Seite bin ich wiederholt danach gefragt worden, worin denn nun eigentlich der Vorteil liege, wenn man einen eigenen Datenschutzbeauftragten bestellt. Ich habe mich dazu gegenüber dem Städtetag Baden-Württemberg wie folgt geäußert:

Noch gebe ich die Hoffnung nicht auf, dass auch diejenigen, die bisher noch Zurückhaltung üben, ihre Skepsis überwinden und sich für einen eigenen Datenschutzbeauftragten entscheiden.

3.2 Der Wegfall des Datenschutzregisters

Nach dem alten Landesdatenschutzgesetz hatte mein Amt ein Register der von den öffentlichen Stellen eingesetzten automatisierten Verfahren zu führen, das sog. Datenschutzregister. Dazu waren diese verpflichtet, mir eine Reihe von Angaben aus dem von ihnen zu führenden Verfahrensverzeichnis zu melden. Wen dies interessierte, der konnte das Datenschutzregister einsehen oder daraus Auskunft erhalten.

Ich habe dieses Datenschutzregister schon lange für überflüssig gehalten. Zum einen war es nie aktuell und vollständig, weil die meldepflichtigen Stellen insoweit nicht sehr zuverlässig waren. Zum anderen hatte sich in den letzten Jahren praktisch nie jemand dafür interessiert, was in dem Register steht. Als die Änderung des Landesdatenschutzgesetzes anstand, habe ich deshalb darauf gedrängt, dass das Datenschutzregister abgeschafft wird. Dies ist erfreulicherweise auch geschehen. Die neue Rechtslage sieht nun so aus:

Nach § 32 LDSG haben nur noch die öffentlichen Stellen Meldepflichten gegenüber meinem Amt, die keinen eigenen Datenschutzbeauftragten bestellt haben. Mitzuteilen sind dann der Einsatz und die wesentliche Veränderung automatisierter Verfahren sowie das Verfahrensverzeichnis nach § 11 Abs. 2 LDSG. Da mein Amt nicht mehr verpflichtet ist, die Meldungen in einem Register zu führen, andererseits aber jedermann Anspruch darauf hat zu erfahren, was in dem Verfahrensverzeichnis steht, wurde die Pflicht, diese Angaben verfügbar zu machen, auf die jeweilige öffentliche Stelle übertragen.

Diese sich klipp und klar aus dem Gesetzestext ergebende Änderung der Rechtslage ist bisher offensichtlich vielen öffentlichen Stellen verborgen geblieben. So musste ich z. B. ein Regionales Rechenzentrum, das umfangreiche "Meldungen zum Datenschutzregister nach § 32 LDSG (alt § 28 LDSG)" übersandt hatte, auffordern, erst einmal zu prüfen, welche Gemeinden, für die es die Daten im Auftrag verarbeitet, einen eigenen Datenschutzbeauftragten bestellt haben und deshalb nicht meldepflichtig sind. Aber nicht nur das. Was mittlerweile mehr als ein Jahr nach In-Kraft-Treten des neuen Rechts nicht mehr hinzunehmen ist, ist der Umstand, dass die vorgelegten Verfahrensverzeichnisse durchweg nicht dem Gesetz entsprechen. Die Gesetzesnovelle vom Mai 2000 hat auch inhaltliche Änderungen für das Verfahrensverzeichnis gebracht, die anscheinend kaum zur Kenntnis genommen werden. Da ich zugunsten der öffentlichen Stellen annehme, dass sie sich nicht bewusst über das Gesetz hinwegsetzen wollen, bleibt eigentlich nur der Schluss, dass sie das Gesetz nicht gelesen haben. Dies zeigt in meinen Augen einmal mehr, dass dem Datenschutz in der Verwaltungspraxis nicht immer die gebührende Aufmerksamkeit geschenkt wird. Denn gerade das Verfahrensverzeichnis ist ein für die Behörden selbst wichtiges Instrument, um zum einen für sich transparent zu machen, welche Verfahren der Datenverarbeitung sie überhaupt einsetzen und welche Rahmenbedingungen hierfür bestehen. Zum anderen ist es Grundlage für die Erfüllung der Informationspflicht gegenüber interessierten Bürgern, aber auch für mögliche Kontrollen durch mein Amt. Hier besteht also noch erheblicher Nachholungs- und Nachbesserungsbedarf. Es ist zu hoffen, dass zunehmend behördliche Datenschutzbeauftragte bestellt werden, deren Aufgabe unter anderem auch das Führen des Verfahrensverzeichnisses ist und die diesem aus Sicht des Datenschutzes wichtigen Kontrollinstrument vermehrt Aufmerksamkeit widmen.

3.3 Die Beteiligung am Erlass von Rechts- und Verwaltungsvorschriften

Neu in das Landesdatenschutzgesetz aufgenommen wurde eine Bestimmung, wonach der Landesbeauftragte für den Datenschutz bei der Ausarbeitung von Rechts- und Verwaltungsvorschriften zu beteiligen ist, wenn diese die Verarbeitung personenbezogener Daten betreffen (§ 31 Abs. 3 Satz 2 LDSG). Diese Vorschrift hat zu Missverständnissen geführt. Nimmt man sie nämlich wörtlich, würde dies bedeuten, dass alle Kommunen sowie sämtliche sonstigen Körperschaften und Anstalten des öffentlichen Rechts, die eine Rechtsverordnung, Satzung oder Verwaltungsvorschrift neu erlassen oder wesentlich ändern wollen, meine Dienststelle beteiligen müssten, soweit (auch) die Verarbeitung personenbezogener Daten betroffen ist. Da diese Voraussetzung bei den meisten derartigen Vorschriften gegeben ist, kann diese Interpretation wegen der damit verbundenen Folgen vom Landtag so nicht gewollt sein. Damit würden nämlich die Kapazität meiner Dienststelle hoffnungslos überfordert und die Stellen, die solche Regelungen erlassen wollen, ganz erheblich belastet werden. Sowohl im eigenen, wie aber auch in deren Interesse halte ich deshalb, übrigens entgegen der Auffassung des Innenministeriums, eine restriktive Auslegung des § 31 Abs. 3 Satz 2 LDSG für geboten und gehe davon aus, dass meine Dienststelle nur dann zwingend zu beteiligen ist, wenn es um die Ausarbeitung von Rechts- und Verwaltungsvorschriften durch die Landesregierung, einzelne Ministerien oder sonstige Behörden des Landes geht. Den anderen Behörden bleibt es selbstverständlich nach wie vor unbenommen, sich in solchen Fällen an mich zu wenden und sich beraten zu lassen.