29. Tätigkeitsbericht 2009 - Inhaltsverzeichnis

1. Teil: Zur Situation

1. Datenschutz in Bewegung

2. Europäische Entwicklung
2.1 Datenschutz und der Vertrag von Lissabon
2.2 Die Harmonisierung der Sicherheitspolitik nach dem "Stockholmer Programm": Bleibt der Datenschutz auf der Strecke?
2.3 Die Umsetzung der EU-Dienstleistungsrichtlinie

3. Entwicklung auf Bundesebene
3.1 Die Weiterentwicklung des Datenschutzrechts
3.2 Rechtsentwicklung im Sicherheitsbereich
3.3 Zensus 2011
3.4 Gesetz über den elektronischen Entgeltnachweis (ELENA)
3.5 Das geplante Bundesmelderegister
3.6 Elektronischer Pass und elektronischer Personalausweis

4. Videoüberwachung
4.1 Videoüberwachung an Schulen
4.2 Videoüberwachung im gemeindlichen Freizeitbad
4.3 Die unzulässige "Privatisierung" der Videoüberwachung auf dem Biberacher Gigelberg
4.4 Mannheim behält den Schutz vor Kriminalität im Fokus

5. Die Dienststelle in Zahlen

1. Datenschutz in Bewegung

Der Datenschutz ist in Bewegung geraten: Das betraf im Berichtszeitraum 2008/2009 weniger die personellen Veränderungen in der Dienststelle als vielmehr zahlreiche Datenschutzpannen und -skandale, die bundesweit nicht nur zu beachtlichen Schlagzeilen führten, sondern bei vielen Bürgerinnen und Bürgern den Eindruck erweckten, ihre Daten seien nicht mehr sicher, weder bei Behörden noch bei Unternehmen (siehe nachstehendes Ergebnis einer Umfrage des Instituts für Demoskopie Allensbach vom Januar 2009).

Das Thema Datenschutz hatte wieder Konjunktur - wie seit dem Volkszählungsurteil aus dem Jahre 1983 nicht mehr. "Sicherheitslecks" und die interne Überprüfung von Verbindungsdaten bei einem großen Telekommunikationsunternehmen, Datenschutzverstöße beim Adresshandel, die Videobeobachtung von Mitarbeitern eines Discounters sowie etliche kleinere und größere Datenschutzpannen, aber vor allem wohl der offenkundige Vertrauensverlust in der Bevölkerung führten auf der politischen Ebene zunächst zu einem "Datenschutzgipfel" beim damaligen Bundesinnenminister am 4. September 2008 und - gewisse Verzögerungen aufgrund der involvierten Interessen blieben nicht aus - zu mehreren Novellierungen des Bundesdatenschutzgesetzes kurz vor dem Ende der 16. Legislaturperiode des Deutschen Bundestags. Parallel hierzu legte der Bundesarbeitsminister wenige Tage vor der Bundestagswahl, ohne Chance auf eine gesetzgeberische Umsetzung, den Entwurf eines Arbeitnehmerdatenschutzgesetzes vor. Das jahrelang im politischen Abseits stehende Themenfeld Datenschutz geriet jedenfalls in ungewohnte Bewegung.

Nach der Bundestagswahl scheint es auf Bundesebene mit frischem Schwung weiterzugehen. Der Koalitionsvertrag von CDU, CSU und FDP vom 26. Oktober 2009 geht im Kapitel "Datenschutz" nicht nur von der richtigen Erkenntnis aus, dass ein moderner Datenschutz gerade in der heutigen Informationsgesellschaft von besonderer Bedeutung ist; die Koalitionspartner bekennen sich auch zum Ziel eines hohen Datenschutzniveaus. Die programmatische Aussage im Koalitionsvertrag, dass "die konsequente Anwendung geltenden Rechts, eine gute Ausstattung der Sicherheitsbehörden und die Beseitigung von Vollzugsdefiziten immer Vorrang vor der Erweiterung staatlicher Eingriffsbefugnisse" haben sollen, und ähnliche Aussagen des neuen Bundesinnenministers lassen hoffen, dass im Sicherheitsbereich mehr Zurückhaltung als in den vergangenen Jahren an den Tag gelegt werden wird. Interessant ist auch der Plan, eine Stiftung Datenschutz zu schaffen.

Kurz nach der Regierungsbildung kündigte nicht nur der neue Bundesinnenminister an, er wolle bald den Entwurf eines Arbeitnehmerdatenschutzgesetzes vorlegen, auch die neue Bundesjustizministerin gab bekannt, sie strebe eine grundlegende Renovierung des Datenschutzrechts an, die für den privaten wie den öffentlichen Bereich gelten solle. In beiden Punkten würde damit eine langjährige Forderung der Datenschutzbeauftragten von Bund und Ländern aufgegriffen (vgl. hierzu Entschließungen vom 26. März und vom 8. Oktober 2009, Anhänge 2 und 19). Auch der Deutsche Bundestag hatte wiederholt ein modernes, leicht verständliches und übersichtliches Datenschutzrecht sowie einen Gesetzentwurf zum Arbeitnehmerdatenschutz eingefordert; insofern entspricht der Koalitionsvertrag im Grunde (nur) der Beschlusslage des Parlaments. Die Datenschutzbeauftragten von Bund und Ländern haben inzwischen Vorarbeiten für eigene Vorschläge zur Modernisierung des Datenschutzrechts aufgenommen.

Zutreffend hat der Bundestag auch ein zunehmendes Auseinanderklaffen von datenschutzrechtlichen Bestimmungen und technologischer Entwicklung konstatiert (vgl. zuletzt Drucksache 16/12271; die Beschlussempfehlung des Innenausschusses wurde in der Plenarsitzung des Deutschen Bundestages am 19. März 2009 einstimmig angenommen).

Die Einschätzung der neuen Bundesjustizministerin, der Koalitionsvertrag beinhalte den Einstieg in einen Paradigmenwechsel, hin zu einer stärkeren Beachtung der Freiheits- und Bürgerrechte, scheint mir allerdings etwas zu optimistisch zu sein; zumindest steht die Nagelprobe hierfür noch aus. Bei Lichte betrachtet orientiert sich der Koalitionsvertrag nur an den Grenzen des verfassungsrechtlich Zulässigen, die das Bundesverfassungsgericht im Berichtszeitraum dem Gesetzgeber erneut mehrfach aufgezeigt hat. Dabei hat insbesondere die Entscheidung vom 27. Februar 2008¹, mit der das Bundesverfassungsgericht die Online-Durchsuchung im nordrhein-westfälischen Verfassungsschutzgesetz kippte, Aufsehen erregt. Denn das Gericht stellte dem im Volkszählungsurteil von 1983 formulierten "Grundrecht auf informationelle Selbstbestimmung" überraschend eine junge "Schwester" (um den Präsidenten des Bundesverfassungsgerichts zu zitieren), das "Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme", an die Seite. Damit wollte das höchste deutsche Gericht den wachsenden Gefährdungen Rechnung tragen, die sich aus der für die Persönlichkeitsentfaltung bedeutsamen Nutzung der Informationstechnik, namentlich des Internets, ergeben. Es bleibt zu hoffen, dass die staatlichen Stellen nun eine aktive Rolle einnehmen, um die geforderte Vertraulichkeit und Integrität zu gewährleisten; nur der Hinweis auf die Selbstverantwortung der Nutzer wäre jedenfalls zu wenig. Nur am Rande sei die Bemerkung gestattet, dass mein Amtsvorgänger Peter Zimmermann mit seiner Prognose im letzten Tätigkeitsbericht hinsichtlich des Schicksals der Online-Durchsuchung auf dem Prüfstand des Bundesverfassungsgerichts vollauf Recht behalten hat. Und auch die neuen Gesetze über das Bundeskriminalamt und die Vorratsdatenspeicherung sowie das Antiterrordateigesetz werden in den nächsten Monaten unweigerlich einer kritischen Prüfung durch das höchste deutsche Gericht unterzogen werden; ich würde mich wundern, wenn diese Vorhaben gänzlich ungestreift davonkämen.

Auf europäischer Ebene wird der am 1. Dezember 2009 in Kraft tretende Vertrag von Lissabon auch für den Datenschutz bedeutsame Änderungen mit sich bringen: Die Grundrechte-Charta der Europäischen Union mit ihrem Grundrecht auf Datenschutz wird zum europäischen Primärrecht. Durch die Aufgabe der bisherigen Säulenstruktur ist auch die zwischenstaatliche polizeiliche und justizielle Zusammenarbeit in Strafsachen zu vergemeinschaften; allerdings ist hier erst noch ein einheitliches, möglichst hohes Datenschutzniveau zu schaffen. Ob der im internationalen Vergleich durchaus beachtliche deutsche Datenschutz zum Maßstab auf europäischer Ebene werden oder ob eine Harmonisierung auf einem niedrigeren Niveau erfolgen wird, bleibt abzuwarten. Wegen der Bedeutung des Vertrags von Lissabon ist ihm ein eigener Abschnitt in diesem Tätigkeitsbericht gewidmet, ebenso dem "Stockholmer Programm", das sich der Europäische Rat im Bereich der inneren Sicherheit noch in diesem Jahr geben will. Angesprochen wird auch die weitere Umsetzung der EU-Dienstleistungsrichtlinie auf Landesebene. Zu den Projekten auf Bundesebene, auf die ich in diesem Bericht eingehe, gehören die Umsetzung des ELENA-Gesetzes, das geplante Bundesmelderegister sowie der elektronische Pass und der elektronische Personalausweis. Mein Anliegen ist in diesem Zusammenhang, im Tätigkeitsbericht auch einige für die Bürgerinnen und Bürger datenschutzrelevante Entwicklungen außerhalb der Landesgrenzen darzustellen, selbst wenn ich dafür nicht originär zuständig bin. Unsere Informationsgesellschaft kennt eben immer weniger nationale und Landesgrenzen.

Im Mittelpunkt dieses Tätigkeitsberichts stehen jedoch wie in den früheren Jahren die zahlreichen neuen Gesetzesvorhaben, Projekte und EDV-Verfahren auf Landesebene sowie selbstverständlich die vielen Eingaben und Beschwerden aus der Bevölkerung, die bei mir tagtäglich eingehen und die vielfach zur Nachschau bei den Behörden vor Ort und hin und wieder auch zu einer Beanstandung geführt haben. Dankend zu erwähnen sind auch die wertvollen Hinweise aus dem Bereich der Medien, durch die meine Mitarbeiter und ich immer wieder auf Missstände, aber auch auf uns bisher unbekannte Vorhaben von Landesbehörden und Kommunen aufmerksam gemacht werden. Leider geschieht es noch zu oft, dass ich erst durch Presseartikel oder Landtagsdrucksachen von Projekten erfahre, über die ich eigentlich von Amts wegen schon lange vorher hätte unterrichtet werden müssen.

Aus der Reihe der Gesetzgebungsvorhaben des Landes sind im Berichtszeitraum besonders die Novellierung des Polizeigesetzes, der Entwurf eines neuen Landesversammlungsgesetzes, das Gesetz über die elektronische Aufsicht im Vollzug, das Justizvollzugsgesetzbuch, das Landeskrebsregistergesetz und dessen Umsetzung sowie die gesetzlichen Grundlagen für den Zugang zu Geodaten zu nennen. Als gewisser Schwerpunkt meiner Tätigkeit haben sich in den zurückliegenden beiden Jahren auch der Bildungsbereich und hierauf bezogene Konzepte und Verfahren herausgestellt. Zu erwähnen sind hier vor allem die Einschulungsuntersuchung sowie der Orientierungsplan für Bildung und Erziehung in Kindergärten und Kindertagesstätten, der erhebliche Eingriffe in das Persönlichkeitsrecht vorsieht und trotz fehlender Rechtsgrundlage zunächst verbindlich eingeführt werden sollte. Aber auch das Verfahren "Kompetenzanalyse Profil AC an Haupt- und Sonderschulen" machte deutlich, dass die vom Kultusministerium den Schulen (nicht nur bei diesem Verfahren) zugedachte Rolle als datenschutzrechtlich verantwortliche Stelle im Sinne von § 3 Abs. 3 des Landesdatenschutzgesetzes (LDSG) dort weitgehend noch unbekannt ist bzw. dass die Schulen bei der Umsetzung datenschutzrechtlicher Anforderungen offenbar vielfach allein gelassen werden. Ich habe zwar ein gewisses Verständnis dafür, dass nicht jede Schule einen eigenen behördlichen Datenschutzbeauftragten nach § 10 Abs. 1 LDSG bestellen kann oder will, das Gesetz bietet aber auch die Möglichkeit, dass diese Funktion von der Aufsichtsbehörde wahrgenommen wird oder ein Datenschutzbeauftragter für mehrere öffentliche Stellen gemeinsam bestellt wird (§ 10 Abs. 2 LDSG). Die jüngsten Erfahrungen bestätigen mich auch in meiner Forderung, im Landesdatenschutzgesetz - ähnlich wie in den Datenschutzgesetzen einiger anderer Länder und des Bundes - eine gesetzliche Verpflichtung zur Bestellung eines behördlichen Datenschutzbeauftragten zu schaffen; bisher ist das nur fakultativ vorgesehen. Auf diese Weise könnte gegebenenfalls auch eine Entlastung meiner Mitarbeiterinnen und Mitarbeiter erreicht werden.

Diese wäre übrigens dringend erforderlich, denn die Personalausstattung meiner Dienststelle ist leider nach wie vor unzureichend. Aber auch in organisatorischer Hinsicht scheint der Datenschutz auf Landesebene in Bewegung zu kommen: Für das kommende Jahr zeichnet sich eine Zusammenlegung meiner Dienststelle mit der Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich ab, nachdem nunmehr auch die CDU-Landtagsfraktion diese Lösung befürwortet. Das ist eine gute Nachricht für den Datenschutz im Lande, weil sich hierdurch die Chance eröffnet, den Rat suchenden Bürgerinnen und Bürgern Datenschutz aus einer Hand zu bieten. Die derzeitige Zuständigkeitsabgrenzung ist vor allem in Anbetracht der vielen privatrechtlichen Betätigungsformen der öffentlichen Hand für die Betroffenen häufig kaum noch zu durchschauen. Wichtig wird nun sein, dass die Dienststelle in ihrem neuen Zuschnitt vernünftig mit Stellen und Sachmitteln ausgestattet wird, damit die politisch gewünschte Schlagkraft der Datenschutzaufsicht Realität werden kann. Bislang ist die personelle und sachliche Ausstattung meiner Dienststelle, aber auch die der im Innenministerium angesiedelten Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich - verglichen mit den Datenschutzaufsichtsbehörden in den anderen Ländern und beim Bund - sehr bescheiden, so dass im Grunde nur das Pflichtpensum bewältigt werden kann. Eine Fusion von zwei notleidenden Aufsichtsbehörden - womöglich noch mit dem Hintergedanken, Synergieeffekte in Form von Personaleinsparungen zu erzielen - wäre jedenfalls der falsche Weg, wenn man es mit einer schlagkräftigen Datenschutzaufsicht ernst meint. Datenschutzaufsicht sollte mehr sein als nur die rückwärtsgewandte Kontrolle (und gegebenenfalls Beanstandung) in Einzelfällen, wenn das Kind schon in den Brunnen gefallen ist. Wie meine Mitarbeiter und ich immer wieder erleben, wäre eine verstärkte Beratung der Behörden sowie die Mitwirkung an der Erarbeitung von wichtigen Konzepten und Projekten vielfach dringend erforderlich; dies muss aus Kapazitätsgründen bisher in der Regel unterbleiben. Wichtig wäre auch eine intensivere Öffentlichkeitsarbeit, nicht zuletzt im Bereich der Bildung, um das Recht auf Privatsphäre stärker im Bewusstsein von Multiplikatoren und Betroffenen zu verankern. Viele Akteure in diesem Bereich haben sich zwar die Verbesserung der Medienkompetenz zum Ziel gesetzt; gelegentlich habe ich aber den Eindruck, dass der Datenschutz auf dem weiten Feld des richtigen Umgangs mit Tastatur und Computermaus, E-Mail und Internet etwas ins Hintertreffen gerät.

Dabei stellt die stürmische technische Entwicklung, insbesondere die zunehmende Verbreitung des Internets, auch eine große Herausforderung für meine Mitarbeiter und mich dar, wenngleich der nichtöffentliche Bereich noch mehr gefordert sein dürfte. Denn das stark technikabhängige Datenschutzrecht stammt in seiner Grundstruktur weitgehend noch aus den achtziger Jahren des vorigen Jahrhunderts, aus der Zeit der Großrechner und des knappen und teuren Speicherplatzes. Die Gegenwart ist vor allem das Internet: Allein in Deutschland nutzen mittlerweile knapp 70 % der über 14-Jährigen das Internet (Quelle: [N]Onliner-Atlas 2009, siehe www.initiatived21.de), weltweit sind es 1,6 Milliarden, in der Altersgruppe der 14 bis 29-Jährigen sind es schon 94,5 %. Nach einer EMNID-Umfrage vom Juli 2009 sind 47 % der Bevölkerung Mitglied in einem sozialen Netzwerk wie Facebook, StudiVZ oder Xing, bei den 14 bis 29-Jährigen liegt der Anteil der Mitglieder in einer Online-Community sogar bei 89 % (www.tns-emnid.com). Wenn man sich anschaut, dass hier viele, zum Teil höchst private Informationen freiwillig preisgegeben werden, dann kann man schon von einer "Generation Sorglos" reden. Das hierdurch entstandene datenschutzrechtliche Risikopotenzial liegt auf der Hand. Vielen der jungen Internet-User scheint nicht bewusst zu sein, dass das Internet "nichts vergisst" und dass viele Informationen noch auffindbar sind, wenn sich die Urheber hieran nicht mehr so gerne erinnern wollen. Eine Umfrage des dimap-Instituts im Auftrag der Bundesregierung (Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz) vom Juli 2009 ergab beispielsweise, dass mehr als ein Viertel der befragten Unternehmen gezielt das Internet allgemein für Personalentscheidungen und hiervon immerhin 36 % soziale Netzwerke als Informationsquellen im Bewerbungsprozess nutzen (www.bmelv.de). Wegen Einzelheiten verweise ich auf den Fünften Tätigkeitsbericht des Innenministeriums über den Datenschutz im nichtöffentlichen Bereich 2009, der wertvolle Hinweise enthält und die von den Aufsichtsbehörden des Bundes und der Länder ("Düsseldorfer Kreis") aufgestellten Anforderungen an eine datenschutzkonforme Ausgestaltung sozialer Netzwerke benennt (der Bericht kann von der Homepage des Innenministeriums unter der Adresse www.innenministerium.baden-wuerttemberg.de/fm7/2028/Fuenfter_Taetigkeitsbericht_2009_Datenschutz.pdf heruntergeladen werden).

Mit der dezentralen und global verfügbaren Internet-Technik verflüchtigen sich auch die gewohnten datenschutzrechtlichen Anknüpfungspunkte zusehends: Mag beispielsweise die Verantwortlichkeit für die Einstellung von Informationen ins Netz bei einem seriösen Anbieter dank der Angaben im Impressum nach §§ 5, 6 des Telemediengesetzes (TMG) noch eindeutig feststellbar sein, so gilt dies bei Spiegelung der Seite oder des Inhalts, bei jedem gesetzten Link und erst recht bei der Zwischenspeicherung in Suchmaschinen nur noch sehr eingeschränkt oder gar nicht mehr. Ist der Verantwortliche aber nicht bekannt, so können auch die Betroffenenrechte dramatisch an Bedeutung verlieren. Zudem besteht ein erhebliches praktisches Problem hinsichtlich der Zuständigkeit der jeweiligen Aufsichtsbehörde, das sich aus der komplexen und globalisierten Datenverarbeitung im Internet ergibt.

2. Europäische Entwicklung

2.1 Datenschutz und der Vertrag von Lissabon

Der am 13. Dezember 2007 in Lissabon von den europäischen Staats- und Regierungschefs unterzeichnete Vertrag über die Reform der Europäischen Union (EU) wird nach seinem Inkrafttreten auch für den Datenschutz durchgreifende Änderungen mit sich bringen. Die Grundrechte-Charta mit einem Grundrecht auf Datenschutz wird zum europäischen Primärrecht. Die bisher zwischenstaatliche polizeiliche und justizielle Zusammenarbeit in Strafsachen wird vergemeinschaftet; ein einheitliches hohes Datenschutzniveau in diesem Bereich ist noch zu schaffen.

Nach dem vorläufigen Scheitern einer europäischen Verfassung im Jahr 2005 wurde das Reformwerk in abgespeckter Form im Jahr 2007 maßgeblich unter deutscher Ratspräsidentschaft durchgesetzt. Inzwischen hat die irische Bevölkerung in einem zweiten Referendum grünes Licht gegeben; nachdem zuletzt auch Polen und Tschechien den Vertrag von Lissabon ratifiziert haben, ist er am 1. Dezember 2009 in Kraft getreten. Der Vertrag gestaltet die bisherigen Gemeinschaftsverträge - insbesondere den Vertrag über die Europäische Union und den Vertrag zur Gründung der Europäischen Gemeinschaft (künftig "Vertrag über die Arbeitsweise der Europäischen Union", AEUV) - grundlegend um. So wird u. a. die bisherige Säulenstruktur aufgegeben und die Charta der Grundrechte in das europäische Primärrecht eingebunden (siehe: http://europa.eu/lisbon_treaty/full_text/index_de.htm). Der Vertrag von Lissabon bringt auch für den Datenschutz eine Reihe bedeutsamer Änderungen mit sich:

• Artikel 16 Abs. 2 AEUV (bisher Artikel 286 des EG-Vertrages) verpflichtet die europäischen Gesetzgebungsorgane zum Erlass von Datenschutzvorschriften. Diese Pflicht gilt nicht nur hinsichtlich der Verarbeitung personenbezogener Daten durch europäische Institutionen, sondern nunmehr auch für die Datenverarbeitung durch die Mitgliedstaaten.
  
  

  Artikel 16 Abs. 2 AEUV (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. (2) Das Europäische Parlament und der Rat erlassen gemäß dem ordentlichen Gesetzgebungsverfahren Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien Datenverkehr. Die Einhaltung dieser Vorschriften wird von unabhängigen Behörden überwacht. Die auf der Grundlage dieses Artikels erlassenen Vorschriften lassen die spezifischen Bestimmungen des Artikels 39 des Vertrags über die Europäische Union unberührt.

  
  
• Der Vertrag von Lissabon führt zum Wegfall der bisherigen Säulenstruktur; die erste Säule betraf den einheitlichen Wirtschaftsraum Europa, die zweite Säule die gemeinsame Außen- und Sicherheitspolitik und die dritte Säule die zwischenstaatliche polizeiliche und justizielle Zusammenarbeit in Strafsachen. Nunmehr wird auch der bisher der dritten Säule zugehörende Bereich der zwischenstaatlichen polizeilichen und justiziellen Zusammenarbeit vergemeinschaftet und unterliegt fortan grundsätzlich dem Geltungsbereich des Artikels 16 AEUV. Inwieweit die EU-Datenschutzrichtlinie von 1995 (95/46/EG), die nach ihrem Artikel 3 gerade nicht für den Sicherheitsbereich galt, nunmehr hier Anwendung findet, wird noch zu prüfen sein. In jedem Fall ist es erforderlich, auch in diesem Bereich einen allgemein verbindlichen hohen Datenschutzstandard zu schaffen.
   
• Der Rat der EU-Innen- und Justizminister hat erst am 27. November 2008 einen Rahmenbeschluss über den Datenschutz in der dritten Säule verabschiedet (ABl. EU 2008/L 350/60); ob dieser den Anforderungen des Artikels 16 AEUV entspricht, erscheint jedoch zweifelhaft. Problematisch ist insbesondere, dass er sich nur auf die grenzüberschreitende Kommunikation und nicht auf die Datenverarbeitung in den Mitgliedstaaten selbst bezieht, obwohl die übermittelten Daten im Empfängerland mit den dort erhobenen Daten zusammengeführt werden. So kann kein einheitlicher Datenschutzstandard in Europa erreicht werden. Ebenso unbefriedigend ist das Recht der Betroffenen auf Auskunft geregelt, weil die konkrete Ausgestaltung den Mitgliedstaaten überlassen bleibt. Auch das Europäische Parlament hat auf Regelungsdefizite hingewiesen. Die Konferenz der Datenschutzbeauftragten von Bund und Ländern hat in einer Entschließung vom 6./7. November 2008 erneut angemahnt, dass ein angemessener Datenschutz bei der polizeilichen und justiziellen Zusammenarbeit in der EU dringend erforderlich ist (vgl. Anhang 9).
   
• Die wohl wichtigste Änderung - wenngleich nicht für den grundrechtlich bereits gut abgesicherten Datenschutz in Deutschland - bringt der Vertrag von Lissabon durch seine Bezugnahme auf die Charta der Grundrechte der EU mit sich; dort ist in Artikel 8 ein Grundrecht auf Datenschutz (ergänzend wäre auch auf Artikel 7 - Achtung des Privat- und Familienlebens - hinzuweisen) normiert, das nun erstmals auf europäischer Ebene rechtsverbindlich wird.

Welche Entwicklung sich aus der unmittelbaren Geltung der EU-Grundrechte für das nationale Datenschutzrecht ergibt, bleibt abzuwarten. Das bewährte Grundrecht auf informationelle Selbstbestimmung in Deutschland darf durch die europäische Rechtsordnung allenfalls ergänzt, aber - auch im Hinblick auf den "Integrationsvorbehalt" in Artikel 23 Abs. 1 des Grundgesetzes - keinesfalls verdrängt werden, da die europäischen Grundrechte (noch) kein vergleichbares Schutzniveau gewährleisten (siehe hierzu eingehend Ronellenfitsch: Der Vorrang des Grundrechts auf informationelle Selbstbestimmung vor dem AEUV, Datenschutz und Datensicherheit [DuD], 2009, S. 451 ff.).

2.2 Die Harmonisierung der Sicherheitspolitik nach dem "Stockholmer Programm": Bleibt der Datenschutz auf der Strecke?

Die Europäische Union will im "Stockholmer Programm" ihre politischen Zielvorgaben zur Entwicklung eines Raums der Freiheit, der Sicherheit und des Rechts für die kommenden fünf Jahre festschreiben. Dabei drohen die konkreten Überlegungen für einen verbesserten Datenschutz deutlich hinter den Zielsetzungen für verschärfte Sicherheitsmaßnahmen zurückzubleiben.

"Ein offenes und sicheres Europa im Dienste der Bürger" lautete die Überschrift des im Sommer 2009 angenommenen Dokuments der Europäischen Kommission, welches noch in diesem Jahr durch den Europäischen Rat verabschiedet werden und das Gerüst für Maßnahmen der Union auf den Gebieten der Unionsbürgerschaft, Justiz, Sicherheit, Asyl und Einwanderung für die kommenden fünf Jahre (2010 bis 2014) bilden soll. Damit tritt es die Nachfolge der Programme von Tampere "Auf dem Weg zu einer Union der Freiheit, der Sicherheit und des Rechts" und von Den Haag "Zur Stärkung von Freiheit, Sicherheit und Recht in der Europäischen Union" an.

Nimmt man das aktuelle Dokument der Kommission näher unter die Lupe, so fallen viele programmatische Ansätze auf, die in dem noch zu beschließenden Aktionsplan umgesetzt werden sollen. Hierzu gehört auch die Absicht, eine "einheitliche Regelung zum Schutz personenbezogener Daten" zu finden. Bevor es aber dazu kommen kann, muss das "Stockholmer Programm" noch einige Hürden im Abstimmungsprozess zwischen Kommission und Europäischem Parlament und vor allem im Europäischen Rat im Dezember 2009 nehmen.

Einwände sind im Beteiligungsverfahren beispielsweise auch vom Landtag von Baden-Württemberg und vom Bundesrat geltend gemacht worden; auf die Landtags-Drucksachen 14/4736 und 14/4876 und die Bundesrats-Drucksache 616/09 mit ihren vielfältigen Forderungen und Anregungen wird verwiesen. Dabei stand jedoch weniger der Datenschutz im Mittelpunkt, vielmehr ging es darum, zentralistische Überlegungen der Kommission, die mit dem Subsidiaritätsgebot nicht in Einklang stehen, sowie Kompetenzerweiterungen der europäischen Institutionen Europol und Eurojust zu verhindern.

Der Europäische Datenschutzbeauftragte hat in seiner Stellungnahme vom 10. Juli 2009 deutlich gemacht, dass aus seiner Sicht verschiedene Aspekte des Datenschutzes besonderer Beachtung bei der Realisierung des Programms bedürfen. Dies umfasst nicht nur den Datenaustausch mit den Vereinigten Staaten von Amerika und mit Drittstaaten, die Nutzung neuer Technologien für einen besseren Datenschutz, sondern auch Aussagen zu der Frage zentralisierter Datenbanken, zur Einrichtung eines Systems zur Erfassung von Einreisen und Ausreisen in das Gebiet der Union, zur Entwicklung von präzisen Normen und Kriterien für die Nutzung biometrischer Daten, zum Informationsaustausch zwischen den Polizeibehörden der Mitgliedstaaten und zur weiteren Entwicklung von Europol und Eurojust, den auf europäischer Ebene agierenden Institutionen für die polizeiliche und justizielle Zusammenarbeit.

Datenschutzrechtliche Anliegen sind im Programm als besonders zu berücksichtigende und lückenlos zu gewährende Bürgerrechte genannt, die aber naturgemäß in einem Spannungsfeld mit den Interessen der inneren Sicherheit, der Justiz und der Migration stehen. In diesem Zusammenhang haben bereits die Datenschutzbeauftragten des Bundes und der Länder in einer Entschließung der 76. Konferenz zur justiziellen und polizeilichen Zusammenarbeit in der Europäischen Union gefordert:

Diese Gedanken griff die 78. Konferenz der Datenschutzbeauftragten des Bundes und der Länder bei der Behandlung des Stockholmer Programms wieder auf und zählte insbesondere die folgenden weiteren Schritte auf, um in Europa ein ausgewogenes Verhältnis von Sicherheit und Freiheit zu erreichen:

Ebenso forderte die Konferenz die Bundesregierung auf, sich für diese Forderungen - auch unter Berücksichtigung der Kritik des Bundesrates etwa zu der Schaffung von Exekutivbefugnissen für Europol und Eurojust - im weiteren Verfahren einzusetzen.

Es ist seit Jahren in fast allen Bereichen festzustellen, dass die Europäische Kommission Aktivitäten in einer Vielzahl von Aufgabenfeldern entwickelt, die mit den in den Mitgliedstaaten gewachsenen Traditionen nicht immer harmonieren. Gleichzeitig ist zu erkennen, dass eine Vielzahl von Initiativen, Rechtsakten, Richtlinien und Verordnungen sich überschneiden und damit nicht einer in sich schlüssigen Strategie entsprechen. Auch das "Stockholmer Programm" macht hier bislang keine Ausnahme. Derzeit ist eher zu befürchten, dass es eine weitere Initiative mit einem noch zu beschließenden Aktionsplan wird, der die bisherigen Regelungen allenfalls in Teilen ergänzt oder gar ersetzt. Die grundsätzlichen Forderungen des Datenschutzes auf der Grundlage des Artikel 286 des Vertrags über die Europäische Gemeinschaft (zukünftig Artikel 16 des Vertrages über die Arbeitsweise der Europäischen Union als Teil des Vertrages von Lissabon) werden dann nicht dem in Deutschland entwickelten Verständnis entsprechen, sondern teilweise nur dem Mindeststandard in dem jeweiligen Mitgliedstaat. Dass dieser bei 27 Mitgliedstaaten sehr unterschiedlich ist, ist offensichtlich. Viel entscheidender ist aber die Erkenntnis, dass die Europäische Union gerade dann, wenn es um Forderungen der Vereinigten Staaten von Amerika zur Übermittlung aller möglichen Daten einschließlich der privaten Zahlungsvorgänge innerhalb Europas oder gar nur innerhalb einzelner Mitgliedstaaten geht, Grundsätze des Datenschutzes eher außer Acht lässt, obwohl ein auch nur annähernd gleichwertiger Datenschutzstandard für Unionsbürger jenseits des Atlantiks überhaupt nicht gewährleistet ist. Ob damit ein offenes und sicheres Europa für die Bürger geschaffen wird, ist zumindest aus Sicht des Datenschutzes zweifelhaft. Der erst seit kurzem aufkommende Widerstand gegen das Abkommen zwischen der EU und den USA über die Übermittlung von Finanztransaktionsdaten (SWIFT), der namentlich durch die Regierungen von Frankreich und Deutschland artikuliert wurde, lässt hoffen, dass die Belange des Datenschutzes wieder stärkere Beachtung finden.

2.3 Die Umsetzung der EU-Dienstleistungsrichtlinie

Die Vorgaben der Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates vom 12. Dezember 2006 über Dienstleistungen im Binnenmarkt (Dienstleistungsrichtlinie) sind bis zum 28. Dezember 2009 in nationales Recht umzusetzen. Ziel der Richtlinie ist der Abbau von bürokratischen Hindernissen und zwischenstaatlichen Hemmnissen sowie die Förderung der grenzüberschreitenden Erbringung von Dienstleistungen. Bei der Schaffung einer Rechtsgrundlage für den "Einheitlichen Ansprechpartner" wurde das Thema Datenschutz leider übersehen.

Um die Niederlassungsfreiheit von Dienstleistungserbringern innerhalb der Europäischen Union zu fördern, sollen diese künftig alle Verfahren und Formalitäten, die mit der Aufnahme oder Ausübung bestimmter Dienstleistungstätigkeiten verbunden sind, europaweit elektronisch über "Einheitliche Ansprechpartner" abwickeln können. "Einheitliche Ansprechpartner" sollen hierbei als Verfahrenslotsen und Mittler dienen, deren Aufgabe es ist, Anträge von Dienstleistern entgegenzunehmen und diese an die zuständigen Behörden weiterzuleiten. Dienstleister müssen somit nicht mit den (unter Umständen mehreren) zuständigen Behörden, sondern lediglich mit einer Stelle kommunizieren.

Auf Bundesebene wurde eine Bund-Länder-Arbeitsgruppe von der Wirtschaftsministerkonferenz mit der Umsetzung der Dienstleistungsrichtlinie beauftragt. Sie soll u. a. ein Anforderungsprofil für den "Einheitlichen Ansprechpartner" sowie ein Optionspapier für die Verortung der "Einheitlichen Ansprechpartner" erstellen. Daneben hat die Unterarbeitsgruppe "Screening" ein Prüfraster für die Überprüfung aller die Richtlinie betreffenden Normen erarbeitet. Mit dem Vierten Gesetz zur Änderung verwaltungsverfahrensrechtlicher Vorschriften vom 11. Dezember 2008 (BGBl. I, S. 2418) sind zum 1. April 2009 neue Regelungen zur Umsetzung der Dienstleistungsrichtlinie, z. B. im Hinblick auf Befristungen und Genehmigungsfiktionen, im Verwaltungsverfahrensgesetz (VwVfG) in Kraft getreten. Weitere Änderungen befinden sich derzeit im Abstimmungsverfahren (§§ 8a ff. VwVfG). Die IT-Umsetzung zählt nach dem Beschluss der Ministerpräsidentenkonferenz zu den priorisierten Deutschland-Online-Projekten. Die Federführung hierfür liegt auf Landesebene bei den Ländern Baden-Württemberg und Schleswig-Holstein.

Bezüglich der Umsetzung in Baden-Württemberg hatte der Ministerrat bereits in der Sitzung vom 2. Oktober 2007 die Schaffung von ressortübergreifenden Umsetzungsstrukturen beschlossen. Die Steuerung und Vernetzung der beteiligten Ressorts erfolgt durch eine interministerielle Lenkungsgruppe unter Federführung des Wirtschaftsministeriums. Zur Erarbeitung umsetzungsfähiger Lösungen wurden drei Projektgruppen zu den Bereichen "Einheitlicher Ansprechpartner", "Normenprüfung" sowie "Binnenmarktinformationssystem und elektronische Verfahrensabwicklung" eingerichtet. Für die Projektgruppen "Einheitlicher Ansprechpartner" und "Normenprüfung" ist das Wirtschaftsministerium federführend. Die Projektgruppe "Binnenmarktinformationssystem und elektronische Verfahrensabwicklung" ist dem Innenministerium zugeordnet.

Die allgemeinen verwaltungsverfahrensrechtlichen Anforderungen der Dienstleistungsrichtlinie wurden zwischenzeitlich mit dem Gesetz zur Änderung des Landesverwaltungsverfahrensgesetzes und anderer Gesetze vom 30. Juli 2009 (GBl. S. 363) getroffen. Geleitet vom Grundsatz der Einheitlichkeit des Verwaltungsverfahrensrechts des Bundes und der Länder wurden die bundesrechtlichen Regelungen weitgehend in das Landesrecht übernommen. Namentlich führt das Landesverwaltungsverfahrensgesetz eine neue Verfahrensart, das Verfahren über eine einheitliche Stelle (Einheitliche Ansprechpartner), und allgemeine Regelungen über die Genehmigungsfiktion ein. Eine Festlegung von Aufgaben und Zuständigkeiten der Einheitlichen Stelle soll im Verwaltungsorganisationsrecht erfolgen, so dass weitere Änderungen im einschlägigen Fachrecht oder in Ausführungsgesetzen erforderlich werden.

Mit Beschluss des Ministerrats vom 19. Mai 2009 wurde der Entwurf eines Gesetzes über Einheitliche Ansprechpartner für das Land Baden-Württemberg (EA-Gesetz) zur Anhörung freigegeben. Danach ist vorgesehen, dass in Baden-Württemberg die 30 dienstleistungsrichtlinienrelevanten Kammern sowie - auf freiwilliger Basis - die Stadt- und Landkreise die Aufgabe des "Einheitlichen Ansprechpartners" wahrnehmen. Die elektronische Informationsbereitstellung und Verfahrensabwicklung soll im Grundsatz über das Dienstleistungsportal des Landes Baden-Württemberg ("www.service-bw.de") erfolgen. Eine umfangreiche Verordnungsermächtigung sieht u. a. die Regelung der Einzelheiten der elektronischen Verfahrensabwicklung und der elektronischen Informationsbereitstellung in einer Rechtsverordnung vor.

Artikel 43 der Dienstleistungsrichtlinie weist ausdrücklich darauf hin, dass die Vorschriften zum Schutz personenbezogener Daten eingehalten werden müssen, diese jedoch auf nationaler Ebene festzulegen sind. Obwohl es also offenkundig ist, dass datenschutzrechtlichen Belangen bei der Umsetzung der Richtlinie eine zentrale Bedeutung zukommt, hat es das für das EA-Gesetz verantwortlich zeichnende Wirtschaftsministerium leider nicht für nötig gehalten, meine datenschutzrechtliche Beurteilung im Rahmen des Anhörungsverfahrens einzuholen. Mein Vorgänger hatte in der Vergangenheit bereits eingehend dargelegt, welche datenschutzrechtlichen Anforderungen an die Umsetzung der Dienstleistungsrichtlinie zu stellen sind (vgl. 28. Tätigkeitsbericht für das Jahr 2007, LT-Drucksache 14/2050). Inzwischen wurde der Gesetzentwurf der Landesregierung (LT-Drucksache 14/5345) in den Landtag eingebracht. Natürlich ist mir bewusst, dass angesichts der Tatsache, dass die Dienstleistungsrichtlinie bis Ende des Jahres umzusetzen ist, ein enormer Zeitdruck besteht. Dies darf aber keinesfalls zu Lasten der Gründlichkeit gehen.

Bei der weiteren Umsetzung der Richtlinie sind die geltenden Grundsätze des Datenschutzes wie z. B. der Rechtmäßigkeit, der Erforderlichkeit, der Zweckbindung und der Transparenz der Datenverarbeitung sowie die Betroffenenrechte zu beachten und Sicherheits- und Datenschutzkontrollmaßnahmen verbindlich festzulegen. Meine Dienststelle wird sowohl die Umsetzung der Dienstleistungsrichtlinie in baden-württembergisches Recht weiterhin kritisch begleiten als auch bei der anschließenden praktischen Realisierung prüfen, ob die Rechte der Betroffenen hinreichend gewahrt bleiben.

3. Entwicklung auf Bundesebene

3.1 Die Weiterentwicklung des Datenschutzrechts

Kurz vor dem Ende der 16. Legislaturperiode hat der Deutsche Bundestag drei verschiedene Novellen zum Bundesdatenschutzgesetz (BDSG) beschlossen, die hier nur nachrichtlich dargestellt werden, da sie den nichtöffentlichen Bereich betreffen:

• Die BDSG-Novelle I vom 29. Juli 2009 (BGBl. I, S. 2254) betraf die Tätigkeit von Auskunfteien und beim Einsatz von (Kredit-)Scoring-Verfahren und hatte zum Ziel, für die Betroffenen mehr Transparenz und Rechtssicherheit zu schaffen. Die Änderung tritt am 1. April 2010 in Kraft. Ergänzend hierzu ist die BDSG-Novelle III, ebenfalls vom 29. Juli 2009 (BGBl. I, S. 2355), zu erwähnen, die u.a. der Umsetzung der Verbraucherkreditrichtlinie dient und am 11. Juni 2010 in Kraft tritt.
• Die BDSG-Novelle II vom 14. August 2009 (BGBl. I, S. 2814) trat bereits am 1. September 2009 in Kraft; sie hatte die besonders umstrittenen Regelungen zum Adresshandel und zur Werbung zum Gegenstand (Stichwort: Listenprivileg). In einem neuen § 32 BDSG wurde außerdem eine Bestimmung zur Datenerhebung, verarbeitung und nutzung für Zwecke des Beschäftigungsverhältnisses aufgenommen.

Wegen weiterer Einzelheiten hierzu wird auf die ausführlichen Erläuterungen im Fünften Tätigkeitsbericht des Innenministeriums über den Datenschutz im nichtöffentlichen Bereich (Kap. B, 2.1) verwiesen (www.innenministerium.baden-wuerttemberg.de/fm7/2028/Fuenfter_Taetigkeitsbericht_2009_Datenschutz.pdf).

Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI; vgl. www.bfdi.bund.de) geht in seinem 22. Tätigkeitsbericht und in seinem Internetauftritt auf die aktuellen Änderungen des BDSG ein. Auf der Homepage des BfDI ist außerdem eine regelmäßig aktualisierte Übersicht über den Stand der Bundesgesetzgebung mit datenschutzrechtlichem Bezug zu finden (Datenschutz -> Gesetze -> Übersicht).

Der Blick voraus lässt hoffen: Das Thema Datenschutz scheint in der 17. Legislaturperiode für die Bundesregierung einen gestiegenen Stellenwert zu haben. Hierauf deuten Passagen des Koalitionsvertrages der die Bundesregierung bildenden Parteien hin, auf die an anderer Stelle schon eingegangen wurde (1. Teil, Nr. 1). Auch einige Programmsätze des neuen Bundesinnenministers klingen ungewohnt moderat, wenn man sie mit den gelegentlich markigen Positionsbestimmungen der beiden Amtsvorgänger vergleicht:

Auch die neue Bundesjustizministerin hat den Datenschutz auf ihrer Agenda ganz nach oben gesetzt:

Mit einer umfassenden Modernisierung des Datenschutzrechts würde in der Tat ein langjähriges Anliegen der Datenschutzbeauftragten von Bund und Ländern aufgegriffen. Zu erinnern ist in diesem Zusammenhang an das bereits im Jahr 2001 erschienene gleichnamige Gutachten von Roßnagel, Pfitzmann und Garstka, das seinerzeit vom Bundesinnenminister in Auftrag gegeben wurde (auch auf meiner Homepage abzurufen: www.baden-wuerttemberg.datenschutz.de). Die Datenschutzbeauftragten von Bund und Ländern haben vor kurzem eine Arbeitsgruppe gebildet, um eigene Vorschläge in die nun erneut beginnende Diskussion über eine Modernisierung des Datenschutzrechts einzubringen.

Wegen der nicht unerheblichen Auswirkungen auf die Bürgerinnen und Bürger im Land werden im Folgenden einige aktuelle datenschutzrechtliche Entwicklungen auf Bundesebene, die den öffentlichen Bereich betreffen, vertieft dargestellt.

3.2 Rechtsentwicklung im Sicherheitsbereich

• Gesetz zur Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt
  Es war der "Hindernislauf des Jahres", wenn man die Unterlagen und Medienberichte zu der Änderung des Bundeskriminalamtsgesetzes (BKAG), die am letzten Tag des Jahres 2008 verkündet wurde, noch einmal Revue passieren lässt. Ausgangspunkt war die Föderalismusreform, durch die auch dem Bundeskriminalamt präventivpolizeiliche Gefahrenabwehraufgaben im Bereich des internationalen Terrorismus zugestanden wurden. Diese Gesetzesänderung war und ist zwischen Bund und Ländern, den Datenschutzbeauftragten, den berufsständischen Vertretungen, den Medien und vielen anderen Interessenten aus sehr unterschiedlichen Motiven umstritten. Hauptkritikpunkte waren und sind:
  
  • Möglichkeit des Einsatzes geheimdienstlicher Instrumente durch die Polizei;
  • datenschutzrechtlich sehr kritische neue Befugnisse wie Durchsuchung, Rasterfahndung, Wohnraumüberwachung, Telekommunikationsüberwachung und Online-Durchsuchung sowie
  • der unzureichende Schutz des Zeugnisverweigerungsrechts bestimmter Berufsgruppen.

  Zwar erfolgten im Vermittlungsausschuss noch einige Nachbesserungen, so dass das Gesetz am 1. Januar 2009 in Kraft treten konnte; in den kritischen Punkten aus datenschutzrechtlicher Sicht ergab das Verfahren aber keine grundsätzliche Wende zum Guten. Die 17. Legislaturperiode des Deutschen Bundestages lässt nach dem Koalitionsvertrag vom 26. Oktober 2009 erwarten, dass doch noch die eine oder andere "Feinjustierung" im Interesse des Grundrechtsschutzes, insbesondere in Bezug auf den Schutz des Kernbereichs privater Lebensgestaltung, vorgenommen wird. In Aussicht gestellt wurde u. a., dass für die Entscheidung über die Anordnung von verdeckten Ermittlungsmaßnahmen nach dem Bundeskriminalamtsgesetz künftig ein Richter am Bundesgerichtshof (statt des bisher zuständigen Amtsgerichts am Dienstsitz des Bundeskriminalamts) zuständig sein soll.

  Aus datenschutzrechtlicher Sicht ist vor allem die Vielzahl von Eingriffen in das informationelle Selbstbestimmungsrecht sowohl im Umfang als auch in der Tiefe zu weit gefasst. Hinzu kommt die Sorge vor einer Überlappung der Kompetenz des Bundeskriminalamts mit der Zuständigkeit der Länderpolizeien; außerdem drohen die Grenzen zu den Aufgaben des Verfassungsschutzes verwischt zu werden. Gerade das Bundesverfassungsgericht hatte in seiner Entscheidung vom 27. Februar 2008 den Schutz des Kernbereichs der privaten Lebensgestaltung mit seiner Bedeutung für die verfassungsrechtliche Ordnung noch einmal betont. Die Entschließung der 75. Datenschutzkonferenz zu dem ursprünglichen Gesetzentwurf findet sich in Anhang 4.

  Bemerkenswert ist dieses Gesetzgebungsverfahren nicht zuletzt deshalb, weil die erwähnte Entscheidung zur Online-Durchsuchung klare Grenzen für eine verfassungsgemäße Lösung aufgezeigt hatte. So ist es nicht verwunderlich, dass die Änderung des Bundeskriminalamtsgesetzes ebenfalls zur Anrufung des Bundesverfassungsgerichts führte.

• Rechtsverordnung nach § 7 Abs. 6 BKAG
  Seit Jahren existiert im Bundeskriminalamtsgesetz eine Verordnungsermächtigung für das Bundesministerium des Innern, nach der mit Zustimmung des Bundesrates das Nähere über die Art der Daten, die nach §§ 8 und 9 BKAG gespeichert werden dürfen, geregelt werden kann. Diese Bestimmungen regeln die Datenverarbeitung in Dateien der Zentralstelle, die zu verschiedenen Zwecken errichtet wurden. Das Gesetz regelt ebenfalls die Zusammenarbeit des Bundes und der Länder in kriminalpolizeilichen Angelegenheiten. Ein ganz wesentlicher Teil der Datenverarbeitung erfolgt in dem polizeilichen Informationssystem nach § 11 BKAG, einem Datenverbund mit einer Vielzahl von Verbunddateien, für den wiederum die vorgenannten Regelungen entsprechend gelten.
  Daher hat eine nähere Bestimmung über zu speichernde Daten erhebliche Auswirkungen auf die kriminalpolizeiliche Tätigkeit in den Ländern. Seit Jahren wurde immer wieder von den Datenschutzbeauftragten gefordert, diese Verordnungsermächtigung für konkrete Regelungen zu den Speicherungsinhalten zu nutzen. Erst nachdem durch das Urteil des Niedersächsischen Oberverwaltungsgericht in Lüneburg vom 16. Dezember 2008, 11 LC 229/08, zu der Verbunddatei "Gewalttäter Sport" die Unzulässigkeit der Speicherung personenbezogener Daten mangels fehlender Rechtsgrundlage festgestellt wurde und die 77. Konferenz der Datenschutzbeauftragten von Bund und Ländern ihre Forderung für eine rechtliche Festlegung der Speicherungsinhalte erneuerte (siehe Anhang 11), kam Bewegung in die Sache. Der Bundesinnenminister legte einen Arbeitsentwurf vor, zu dem inzwischen der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Stellung genommen hat; dabei nahm er auch die Anregungen der Datenschutzbeauftragten der Länder für eine präzise Festlegung der zulässigen Daten auf. Inzwischen fand eine erste Ressortbesprechung auf Bundesebene statt, bei der aber zunächst noch grundsätzliche Fragen, wie etwa eine sinnvolle Abgrenzung in Bezug auf die beiden unterschiedlichen Verordnungsermächtigungen in § 7 Abs. 6 BKAG und in § 484 Abs. 3 StPO, im Vordergrund standen. Des Weiteren wurde über die Methode diskutiert, wie zulässige Datenarten zu regeln sind (z. B. durch Regelbeispiele oder durch eine abschließende Aufzählung). Aus Sicht des Datenschutzes verdient eine enumerative Aufzählung schon in Anbetracht der verfassungsrechtlichen Vorgaben den Vorzug.
  
   

3.3 Zensus 2011

2011 findet in allen Staaten der Europäischen Union ein Zensus statt. Im Unterschied zur Volkszählung 1983 gibt es diesmal keine wesentlichen datenschutzrechtlichen Probleme.

Die Vorbereitung der europaweiten Volkszählung 2011 war bereits 2007, als mein Amtsvorgänger in seinem Tätigkeitsbericht über den damaligen Sachstand berichtete, in vollem Gang. Diese Vorbereitung fand 2009 zumindest hinsichtlich der Schaffung der dafür erforderlichen gesetzlichen Grundlagen ihren Abschluss. Aufbauend auf dem Zensusvorbereitungsgesetz wurde im Juli 2009 mit dem Zensusanordnungsgesetz das eigentliche Zensusgesetz 2011 (ZensG) beschlossen und verkündet (BGBl. I, S. 1781). Damit ist nun beispielsweise klar, dass die Statistischen Ämter des Bundes und der Länder zum Stichtag (Berichtszeitpunkt) 9. Mai 2011 eine Bevölkerungs-, Gebäude- und Wohnungszählung durchführen, die erstmals nicht mehr im Wege einer Befragung aller Einwohner, sondern im Wesentlichen registergestützt, das heißt durch Auswertung vorhandener Melde- und anderer Verwaltungsregister durchgeführt wird; Haushalte werden nur noch auf Stichprobenbasis befragt. Erfreulicherweise hat das Finanzministerium Baden-Württemberg meine Dienststelle auch diesmal frühzeitig eingebunden. Meine datenschutzrechtlichen Anmerkungen blieben letztlich leider unberücksichtigt; allerdings ist mein Einfluss bei Bundesvorhaben auch recht begrenzt. Problematisch ist weiterhin vor allem die in § 8 ZensG vorgesehene Erhebung von Daten in sog. Sonderbereichen (z. B. Gemeinschaftsunterkünfte), weil sie 2011 - im Unterschied zur Volkszählung 1987 - in personenbezogener Form erfolgen soll. Unter dem Strich ist aber festzuhalten, dass, wenn die Volkszählung gesetzeskonform durchgeführt wird, keine durchgreifenden datenschutzrechtlichen Bedenken bestehen. Wegen weiterer Einzelheiten verweise ich auf die Ausführungen des für die Bundesgesetzgebung federführend zuständigen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in seinem 22. Tätigkeitsbericht unter Nummer 5.3 "Neue Ansätze in der amtlichen Statistik" und 5.5 "Volkszählung 2011" (www.bfdi.bund.de).

3.4 Gesetz über den elektronischen Entgeltnachweis (ELENA)

Der Bundesgesetzgeber hat im Berichtszeitraum das Gesetz über das Verfahren des elektronischen Entgeltnachweises (ELENA-Verfahrensgesetz) beschlossen. Danach haben Beschäftigte die monatliche Übermittlung ihrer Einkommensdaten an eine Zentrale Speicherstelle zu dulden.

Am 2. April 2009 ist das ELENA-Verfahrensgesetz in Kraft getreten (BGBl. I, S. 634, 1141). Es sieht vor, dass Arbeitgeber von Januar 2010 an die Einkommensdaten ihrer Beschäftigten an eine Zentrale Speicherstelle übertragen. 2012 beginnt der Regelbetrieb im ELENA-Verfahren. Dann werden die für die Bewilligung von Anträgen auf Arbeitslosengeld, Wohngeld und Bundeselterngeld erforderlichen Daten unter Einsatz von Signaturkarten der Leistungsbezieher abgerufen. Die Idee zu dem Verfahren stammt aus der Ägide der rot-grünen Regierungskoalition auf Bundesebene und trug seinerzeit den Namen "JobCard".

Aus meiner Sicht ist das Verfahren eines der größten datenschutzrechtlichen Ärgernisse der letzten Jahre, denn das Gesetz führt zu einem riesigen zentralen Datenspeicher, wobei ein großer Anteil der Betroffenen die dem Anwendungsbereich des ELENA-Verfahrens unterfallenden Sozialleistungen niemals geltend machen wird. So haben die betreffenden Arbeitgeber beispielsweise monatlich Entgeltnachweise elektronisch an die Zentrale Speicherstelle auch für alle Beamten, Richter und Soldaten, aber auch für alle anderen Beschäftigten des öffentlichen Dienstes zu liefern, obwohl dieser Personenkreis nur ausnahmsweise Leistungsbezieher sein wird und sein Gehalt ohne Weiteres durch eine Gehalts- oder Besoldungsmitteilung, die im Behördenverkehr gegenseitig anerkannt wird, jederzeit nachweisen kann. Diese Datensammlung auf Vorrat ist unter dem Gesichtspunkt der Verhältnismäßigkeit, insbesondere der Erforderlichkeit, verfassungsrechtlich bedenklich. Hierauf haben die Datenschutzbeauftragten des Bundes und der Länder wiederholt, unter anderem in ihrer Entschließung vom 6./7. November 2008 (vgl. Anhang 25), hingewiesen. Hinzu kommt die Gefahr, dass eine zentrale Speicherung Begehrlichkeiten anderer Behörden weckt.

In der genannten Entschließung haben die Datenschutzbeauftragten u. a. gefordert, dass der Schlüssel zur Ver- und Entschlüsselung der bei der Zentralen Speicherstelle gespeicherten Daten von einer unabhängigen Treuhänderstelle verantwortet werden muss. Das ELENA-Verfahrensgesetz sieht nun vor, dass der Datenbank-Hauptschlüssel durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) verwaltet wird. Ich halte das für keine glückliche Lösung, denn auf diese Weise könnte der BfDI Aufgaben der Exekutive übernehmen, die er ansonsten zu überwachen hat. Eine weitere Forderung des Datenschutzes war, für die abrufenden Stellen sog. starke Authentisierungsverfahren vorzuschreiben, um deren Identität sicherzustellen. Auch dem ist der Gesetzgeber nachgekommen. Nicht realisiert wurde allerdings die geforderte Ende-zu-Ende-Verschlüsselung.

Die Datenschutzbeauftragten des Bundes und der Länder werden die Umsetzung des ELENA-Verfahrensgesetzes in den nächsten Jahren aufmerksam beobachten und begleiten. Ob die Regelungen tatsächlich verhältnismäßig sind, muss sich noch in der Praxis und gegebenenfalls auf dem Prüfstand des Bundesverfassungsgerichts erweisen.

3.5 Das geplante Bundesmelderegister

Durch die Föderalismusreform I ist die Gesetzgebungszuständigkeit auf dem Gebiet des Meldewesens ausschließlich auf den Bund übergegangen. Bisher war diese Materie rahmenrechtlich durch den Bund im Melderechtsrahmengesetz sowie in den Meldegesetzen der Länder geregelt.

Das Bundesministerium des Innern hat schon im Jahr 2008 den Referentenentwurf eines Gesetzes zur Fortentwicklung des Meldewesens vorgelegt. In dessen Mittelpunkt steht bzw. stand eine Vorschrift, welche die Einrichtung eines (zentralen) Bundesmelderegisters auf Bundesebene vorsah. Die Verwirklichung dieser Pläne des Bundes hätte zur Folge, dass die Einwohnerdaten künftig auf zwei oder gar drei Ebenen parallel gespeichert werden, nämlich bei den originär zuständigen Meldebehörden (Gemeinden), beim Bund und zusätzlich noch (wie zum Teil schon bisher) auf Landesebene.

In seiner Stellungnahme an das Innenministerium hat mein Vorgänger seinerzeit die massiven rechtlichen Bedenken des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit gegen die Einführung eines Bundesmelderegisters unterstützt. Dieser hatte - trotz einiger Verbesserungen im Laufe des Gesetzgebungsvorhabens - weiterhin Zweifel hinsichtlich der Notwendigkeit eines inhaltlich umfänglichen zentralen Bundesmelderegisters geäußert, welches einer Datenspeicherung auf Vorrat für unbestimmte Zwecke angesichts einer Vielzahl zugriffsberechtigter Stellen Vorschub leisten könne. Das Bundesmelderegister eröffne zudem die Möglichkeit einer Verknüpfung mit anderen Daten und könne gegebenenfalls den Weg zu einem allgemeinen Personenkennzeichen bereiten.

Die Ziele, die als Begründung für ein Bundesmelderegister genannt wurden, könnten möglicherweise auch durch eine Vernetzung vorhandener Melderegister, z. B. auf Länderebene, erreicht werden.

Der Referentenentwurf des Bundesinnenministeriums für ein Bundesmeldegesetz hat in der 16. Wahlperiode des Deutschen Bundestags keine Gesetzesreife mehr erlangt. In der Koalitionsvereinbarung vom 26. Oktober 2009 findet sich lediglich der dürre Hinweis, dass der fortbestehende Auftrag aus der Föderalismuskommission I durch ein Bundesmeldegesetz erfüllt werden solle. Es ist zu hoffen, dass dabei auch für das Bundesmelderegister eine datenschutzfreundlichere Lösung gefunden wird.

3.6 Elektronischer Pass und elektronischer Personalausweis

Im 28. Tätigkeitsbericht meiner Dienststelle für das Jahr 2007 (LT-Drucksache 14/2050) wurde bereits darauf hingewiesen, dass auf dem RFID-Chip des neuen elektronischen Reisepasses seit 1. November 2007 zusätzlich Fingerabdrücke des Passinhabers gespeichert werden. Ferner wurde in diesem Beitrag auch über die Eindrücke eines meiner Mitarbeiter anlässlich eines Informationsbesuchs bei einem Testlauf des Passantragsverfahrens berichtet. Am 1. November 2007 wurde das Verfahren zur Beantragung des e-Passes bundesweit in den Produktionsbetrieb übernommen. Nennenswerte Beschwerden von Betroffenen sind mir bisher erfreulicherweise nicht zugegangen.

Ab November 2010 soll auch der Personalausweis nicht nur mit elektronisch gespeichertem Lichtbild und - erfreulicherweise nur auf freiwilliger Grundlage - mit elektronisch gespeicherten Fingerabdrücken auf dem Funkchip ausgestattet werden. Das entsprechende Gesetz wurde am 18. Juni 2009 verkündet (BGBl. I, S. 1346) und soll im Wesentlichen am 1. November 2010 in Kraft treten. Es ist anzuerkennen, dass der Gesetzgeber aufgrund datenschutzrechtlicher Bedenken nunmehr ausdrücklich klargestellt hat, dass ein Ausweisinhaber keine Nachteile erleiden darf, wenn er sich weigert, seine Fingerabdrücke auf dem Ausweis speichern zu lassen. Wenn es vom Inhaber gewünscht ist, soll der elektronische Personalausweis zukünftig als elektronischer Identitätsnachweis im Internet sowohl gegenüber Behörden als auch bei Rechtsgeschäften mit der Privatwirtschaft dienen. Dem Ausweisinhaber soll es dann aber möglich sein, z. B. gegenüber einem Vertragspartner nur bestimmte personenbezogene Daten, z. B. sein Alter, zu offenbaren.

Noch ist technisch und rechtlich nicht vollständig geklärt, wie ein Ausweisinhaber künftig seine Signatur als zusätzliches Datum für die Gültigkeitsdauer dieser Identitätskarte speichern lassen kann.

Der neue elektronische Personalausweis wird aufgrund seiner Zusatzfunktionen für Zwecke der elektronischen Abwicklung von Rechtsgeschäften und des eGovernment einerseits vielfältige Chancen, andererseits aber auch zahlreiche Risiken im Hinblick auf Datenschutz und Datensicherheit mit sich bringen. Ein Auslesen des Datenflusses und der PIN muss zuverlässig unterbunden werden. Dem im kommenden Jahr vorgesehenen bundesweiten Testbetrieb sehe ich daher mit Spannung entgegen.

4. Videoüberwachung

In Bahnhöfen, in Kaufhäusern, in Parkhäusern, in unterirdischen Haltestellen, in Fahrzeugen des öffentlichen Nahverkehrs, an privaten Hauseingängen sind sie mittlerweile allgegenwärtig: Videokameras, die alle Menschen erfassen, die sich dort - aus welchem Grund auch immer - aufhalten, gehen, stehen oder fahren. Videokameras werden aber auch in und an öffentlichen Dienstgebäuden, im Straßenraum, bei Veranstaltungen aller Art eingesetzt.

Für die von privaten Stellen eingesetzten Kameras gilt das Bundesdatenschutzgesetz. Hierfür ist die Dienststelle des Landesbeauftragten für den Datenschutz bisher nicht zuständig. Die Aufgabe der Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich übt das Innenministerium aus, das sich schon häufiger mit Fragen zur Videoüberwachung auseinandersetzen musste, zuletzt in seinem Fünften Tätigkeitsbericht aus diesem Jahr.

Demgegenüber unterliegen die öffentlichen Stellen, die ihre Dienstgebäude und Einrichtungen mit Videokameras ausstatten, um die Besucher in den Räumlichkeiten "im Blick" zu haben, und die öffentliche Straßen und Plätze überwachen, um kriminellem Tun möglichst schnell begegnen zu können, der Kontrolle durch meine Dienststelle. Vielfach setzen auch Ordnungskräfte die Videotechnik ein, um ihre Einsätze zu dokumentieren und mögliche Störer bildlich zu erfassen. Bereits im 25. Tätigkeitsbericht für das Jahr 2004 (LT-Drucksache 13/3800) hat mein Vorgänger zu derartigen Maßnahmen im Zusammenhang mit Volksfesten grundlegende Ausführungen gemacht. Wie nachfolgend nachzulesen ist, bedurfte es in einem Fall weiterer Nachhilfe, um der informationellen Selbstbestimmung einer Vielzahl von Festbesuchern gerecht zu werden.

Da unter "Videoüberwachung" vieles verstanden und dementsprechend auch praktiziert wird, ist es notwendig, das Zusammenspiel von rechtlichen Anforderungen und technischen Möglichkeiten näher zu erläutern. Ob eine derartige Maßnahme jeweils den rechtlichen Bedingungen für die Erhebung und Verarbeitung personenbezogener Daten entspricht und mit welchen technischen Mitteln sie realisiert wird, macht in vielen Fällen den Unterschied zwischen zulässig und unzulässig aus.

Die Beobachtung eines aktuellen Geschehens mittels Kamera und Bildschirm durch Übersichtsaufnahmen ist zulässig, wenn dabei personenbezogene Daten Einzelner nicht identifiziert werden können. Selbst das Aufzeichnen wäre dann mangels Eingriff in die Grundrechte der aufgenommenen Personen unproblematisch. In Anbetracht der raschen Entwicklung technisch immer komfortablerer und preiswerterer Geräte dürfte eine derartige Technik, bei der man die aufgenommenen Personen nur schemenhaft erkennt, kaum noch zum Einsatz kommen. Selbst Webcams werden immer leistungsfähiger und drohen allmählich ihren datenschutzrechtlich unproblematischen Einsatzbereich zu überschreiten. Sobald Einzelpersonen oder Fahrzeuge aber individuell erkennbar werden, beginnt der Eingriff in das informationelle Selbstbestimmungsrecht. Das äußere Erscheinungsbild einer Person, das Kraftfahrzeugkennzeichen und alle weiteren Merkmale, die eine Zuordnung zu einer bestimmten Person erlauben, gehören zu den personenbezogenen Daten. Dafür bedarf es nach dem inzwischen 25 Jahre alten Urteil des Bundesverfassungsgerichts zur Volkszählung aus dem Jahr 1983 (BVerfGE 65,1) einer spezifischen Rechtsgrundlage. Dies hat das Gericht in einem Beschluss vom 11. August 2009, 2 BvR 941/08, zum Einsatz von Videoüberwachungsanlagen bei der Verfolgung von Verkehrsordnungswidrigkeiten ausdrücklich noch einmal bestätigt. Wenn dann durch Aufzeichnung des Geschehens eine Reproduzierbarkeit der erhobenen Daten möglich wird, wird der Eingriff in die Persönlichkeitsrechte weiter intensiviert.

Welche rechtlichen Bedingungen für eine derartige Verarbeitung personenbezogener Daten gegeben sind, ist für Baden-Württemberg recht einfach zu beantworten. Es gibt vor allem Regelungen im Polizeigesetz für offene und verdeckte Bildaufzeichnungen; weitere sind in Bundesgesetzen wie der Strafprozessordnung oder dem Bundesdatenschutzgesetz enthalten, letzteres gilt für öffentliche Stellen des Landes nicht. In allen anderen Bereichen der öffentlichen Verwaltung wurde früher nur der bisherige § 13 Abs. 2 Satz 2 LDSG herangezogen. Diese Vorschrift bietet nach der Entscheidung des Bundesverfassungsgerichts vom 23. Februar 2007, 1 BvR 2368/06 (vgl. hierzu 28. Tätigkeitsbericht für das Jahr 2007, LT-Drucksache 14/2050), zu der inhaltlich vergleichbaren Regelung des Bayerischen Datenschutzgesetzes, mangels hinreichender Bestimmtheit jedoch keine ausreichende Rechtsgrundlage für Videoüberwachungen. Konsequenzen sollten aus dieser Entscheidung eigentlich schon längst gezogen worden sein. Vor einem Jahr wurde meine Dienststelle bereits zu einem Arbeitsentwurf zur entsprechenden Änderung des Landesdatenschutzgesetzes angehört. Leider hat ein Vorschlag für eine verfassungskonforme Regelung bis jetzt noch nicht den Weg in den Landtag gefunden.

Bei allen rechtlichen Vorgaben und technischen Möglichkeiten muss in der allerorten geführten Diskussion über Sinn und Zweck der Videoüberwachung bedacht werden, ob sie das leisten kann, was allgemein von ihr erwartet wird. Dass Aufzeichnungen helfen können, Straftäter zu ermitteln, bestreite ich gar nicht. Dem Opfer einer Straftat wird das leider nur bedingt helfen. Wenn neben der Aufzeichnung auch an einem Bildschirm in Echtzeit das Geschehen beobachtet wird, kann dies geeigneter sein. Dann ist es aber auch erforderlich, genügend Personal für die Beobachtung und vor allem für Interventionen am Ort des beobachteten Geschehens einsetzen zu können. Die Kehrseite dieser Medaille ist, dass Daten von einer Vielzahl von Personen, die die überwachten Orte vielleicht sogar täglich passieren müssen, ohne erkennbare Zweckbestimmung und vielleicht sogar gegen deren Willen erhoben werden. Gerade der oben erwähnte jüngste Beschluss des Bundesverfassungsgerichts sollte die Notwendigkeit präziser gesetzlicher Regelungen und deutlicher Hinweise bei der Realisierung der Beobachtung vor Augen führen.

Ein Blick über die Grenzen kann ebenso hilfreich sein. Das Vereinigte Königreich bietet vielerorts flächendeckende Videoüberwachung. Nach Schätzung des dortigen Innenministeriums sind etwa vier Millionen Überwachungskameras im Einsatz. Zu den in London installierten Kameras konstatierte die zuständige Metropolitan Police in einem jüngst veröffentlichten Bericht, dass auf 1 000 Überwachungskameras nur eine aufgeklärte Straftat käme. Die Erwartungen der Bevölkerung seien nach der Analyse des leitenden Polizeivertreters enttäuscht worden, obwohl sie täglich 300-mal von den Kameras erfasst würden. 500 Millionen britische Pfund (derzeit rund 550 Millionen EUR), die zwischen 1996 und 2006 dafür ausgegeben wurden, seien kaum effizient eingesetzt worden. Dies läge nicht zuletzt daran, dass die Aufzeichnungen vielfach nicht gesichtet würden, da auch zu wenig geschultes Personal vorhanden sei. Gewaltverbrechen und spontane Straftaten könnten im Übrigen damit nicht verhindert werden. Diese Analyse macht deutlich, dass die Erwartungen an eine Videoüberwachung im Hinblick auf eine präventive Wirkung oft überzogen sind; Videoüberwachungsmaßnahmen sind jedenfalls kein Allheilmittel.

Die Videoüberwachung erfordert für eine wirksame Prävention einen erheblichen Einsatz an Personal. Es reicht eben nicht, im Nachhinein Aufzeichnungen auszuwerten. Während der Beobachtung müssen erfahrene Kräfte an den Bildschirmen das in dem überwachten öffentlichen Bereich bereitstehende Personal zum raschen Eingreifen führen. In Anbetracht der angespannten Personalsituation der Polizei kann sich die polizeiliche Videoüberwachung nach meinem Eindruck eigentlich nur auf wenige öffentliche Stellen und besonders auffällige Orte beschränken. Ganz abgesehen von diesen praktischen Erwägungen ist es erforderlich, dass ein überwachter Bereich mit eindeutigen Hinweisen auf die Maßnahme gekennzeichnet ist. Selbstverständlich sind diese Hinweise so zu gestalten, dass sie von den Passanten auch zur Kenntnis genommen werden können.

Die rechtlichen Anforderungen an den Einsatz der Videotechnik bekommen auch deshalb zunehmend Gewicht, weil sich immer mehr öffentliche und private Stellen dazu entschließen, aktuelles Geschehen im öffentlichen oder privaten Raum durch Webcams zu beobachten und im Internet einer unbegrenzten Zuschauerzahl zugänglich zu machen. Vereinzelt gibt es bereits Webcams, die von dem einzelnen Zuschauer über das Internet gesteuert werden können, um für ihn interessante Geschehnisse besser zu erfassen. Auf den 6. Teil, 4. Abschnitt, Nr. 1 weise ich hier schon hin. Ob das alles und zu jeder Zeit zulässig ist, welche Möglichkeiten Betroffene haben, sich dagegen zur Wehr zu setzen, wird nicht nur den Datenschutz weiter beschäftigen. Dies machen schon die immer häufigeren Zivilrechtsstreitigkeiten auf Unterlassung von Videoüberwachungen im privaten Umfeld deutlich. Nicht umsonst spricht die Aufsichtsbehörde für den nichtöffentlichen Bereich bereits von einem "Kampf gegen Windmühlen" (Fünfter Tätigkeitsbericht des Innenministeriums 2009, Kap. B 11).

Nachfolgend berichte ich über Videoüberwachungen, die dem öffentlichen Bereich zuzuordnen waren oder gewesen wären.

4.1 Videoüberwachung an Schulen

Mein Vorgänger hatte schon im 28. Tätigkeitsbericht für das Jahr 2007 (LT-Drucksache 14/2050) sowie in seiner Pressemitteilung vom 30. September 2008 "Videoüberwachung bedarf gesetzlicher Grundlage, Bundesverfassungsgericht ernst nehmen" (abrufbar über die Internet-Seite meines Amts unter "Der LfD und seine Aufgaben" -> "Pressemitteilungen" und dem genannten Datum) darauf hingewiesen, dass eine Videoüberwachung von allgemein zugänglichen Orten und Einrichtungen - jedenfalls soweit die Videoüberwachung mit einer Aufzeichnung verbunden ist - einer speziellen gesetzlichen Grundlage bedarf. Im Polizeibereich ist diese Art der Datenverarbeitung geregelt, bislang aber nicht für Schulen. Gleichwohl gibt es im Schulbereich offenbar den verbreiteten Wunsch, zur Bekämpfung etwa von Diebstählen und Vandalismus zum Mittel der Videoüberwachung zu greifen. In vielen Fällen wandten sich insbesondere Schulleiterinnen und Schulleiter sowie Bürgermeisterämter, da im Regelfall die Gemeinden Schulträger sind, an mein Amt und wurden unter Hinweis auf die Entscheidung des Bundesverfassungsgerichts vom 23. Februar 2007 und das noch ausstehende Gesetzgebungsverfahren eingehend beraten. Soweit ich Rückmeldungen erhielt, führte diese Beratung ganz überwiegend dazu, dass im Schulbereich die Rufe nach Videoüberwachung angesichts der klaren rechtlichen Rahmenbedingungen jedenfalls bis auf Weiteres verstummten.

Daneben hatte sich mein Amt aber leider auch mit Fällen zu befassen, in denen Videoüberwachungen an Schulen unter Missachtung der Rechtslage bereits aktiviert worden waren. An erster Stelle ist hier die Videoüberwachung an 17 Mannheimer Schulen zu nennen, auf die mein Amt durch eine Anfrage aus dem Bereich der Stadt Mannheim aufmerksam gemacht worden war. In seiner Pressemitteilung vom 30. September 2008 stellte mein Vorgänger ausdrücklich fest, dass der Betrieb von Videoüberwachungsanlagen durch öffentliche Stellen - sofern mit einer Aufzeichnung des Bildmaterials verbunden - außerhalb des polizeilichen Bereichs in jedem Fall rechtswidrig sei. Wenn Videoüberwachung auch in anderen Bereichen der öffentlichen Verwaltung zugelassen werden soll, müsse der Landtag dafür erst die Grundlage schaffen. Auch wenn die Entscheidung zu einer Videoüberwachung in Bayern ergangen sei, seien die Erkenntnisse des Gerichts wegen der Vergleichbarkeit der Rechtslage in beiden Ländern uneingeschränkt auf Baden-Württemberg übertragbar. Dies bedeute, dass in jedem Fall Videoüberwachungsanlagen mit Aufzeichnungsmöglichkeit, die nach der Entscheidung des Bundesverfassungsgerichts ohne spezielle gesetzliche Grundlage installiert worden sind, sofort abzuschalten sind.

Für bereits eingerichtete Videoüberwachungen sah er eine Übergangslösung bis Ende 2008 als möglich an, die dem Umstand Rechnung trage, dass vor der Entscheidung des Bundesverfassungsgerichts eine Überwachung auch aufgrund allgemeiner datenschutzgesetzlicher Regelungen zugelassen gewesen sei. Soweit eine Gesetzesänderung bis dahin nicht realisiert werden könne, müssten auch die in Betrieb befindlichen Altanlagen abgeschaltet werden. Im Übrigen könne eine solche Übergangslösung für Altanlagen nicht voraussetzungslos in Anspruch genommen werden. Ein rechtmäßiger Betrieb von Videoüberwachungsanlagen verlange, dass die Erforderlichkeit einer Videoüberwachung gründlich untersucht und alternative Lösungsmöglichkeiten sorgfältig geprüft werden. Es seien dann die Maßnahmen zu wählen, die mit den geringsten Eingriffen in das Persönlichkeitsrecht der Betroffenen verbunden sind, was dazu führen könne, dass auf eine Videoüberwachung gänzlich zu verzichten sei. Zudem seien die Überwachungsbereiche deutlich kenntlich zu machen.

In Mannheim hat die Prüfung durch meine Dienststelle ergeben, dass dort an insgesamt 17 Schulen videoüberwacht wurde. Eine einheitliche Linie, welche Schulbereiche überwacht wurden und wie lange das Bildmaterial gespeichert worden war, fehlte offensichtlich. Die Stadt Mannheim wurde daher aufgefordert, entsprechend den oben genannten Grundsätzen zu verfahren. Erhebliche Zweifel bestanden auch, ob die Erforderlichkeit einer Videoüberwachung in jedem Fall hinreichend belegt war. Schließlich darf die Einrichtung einer Videoüberwachung nicht nur an Zweckmäßigkeitsgesichtspunkten ausgerichtet werden, sondern es muss gründlich abgewogen werden, ob das Interesse an einer Videoüberwachung die rechtlichen Interessen der von der Beobachtung Betroffenen wirklich überwiegt.

Die Stadt Mannheim teilte mir auf meine entsprechenden Anfragen mit, man habe dort mit einer schriftlichen Mitteilung vom 17. Dezember 2008 die in städtischer Schulträgerschaft stehenden Schulen darüber unterrichtet, dass eine vorhandene Videoüberwachung mit Ablauf des 31. Dezember 2008 abzuschalten sei, und man gehe davon aus, dass die Videoüberwachungen tatsächlich eingestellt worden seien. Zudem wies die Stadt Mannheim darauf hin, dass die kommunale Verwaltung eine weitergehende Kontrolle für entbehrlich halte, da nach einem Schreiben des Kultusministeriums Baden-Württemberg beim laufenden Schulbetrieb bei der Anbringung und Durchführung der Videoüberwachung die sog. inneren Schulangelegenheiten betroffen seien, für die das Land und nicht die Stadt Mannheim die Verantwortung trage. Ich betrachte diese Angelegenheit damit zunächst als erledigt, behalte mir aber selbstverständlich vor, die Verhältnisse vor Ort zu gegebener Zeit zu kontrollieren.

Einem weiteren Fall ging mein Amt aufgrund von Zeitungsmeldungen nach, in denen unter den Überschriften "Schüler auf dem Weg zum Klo fotografiert" und "Big Brother vor der Toilette" über eine Videoüberwachung an einer Grundschule berichtet wurde. Demnach hatte der Schulleiter wegen des Verdachts, dass einige Schüler die Toiletten wiederholt verschmutzt hätten, auf dem Flur vor den Toiletten eine digitale Überwachungskamera nebst Bewegungsmelder installiert, wobei diese Überwachung nach einem Monat auf Anweisung von Schulträger und Schulamt wieder eingestellt worden sei. Meine Dienststelle bat unter nachrichtlicher Beteiligung des Staatlichen Schulamts sowie des Regierungspräsidiums als oberer Schulaufsichtsbehörde sowohl die Schule als auch die betroffene Stadt - als Schulträger - um Stellungnahme. Eine Stellungnahme der Stadt ist bei meinem Amt bislang leider nicht eingegangen. Dagegen bestätigte die Schule in ihrer raschen Stellungnahme im Wesentlichen den in den Zeitungsmeldungen dargestellten Sachverhalt. Sie räumte einen "fatalen Fehler" ein und erklärte, man hätte sich dort vor der Durchführung der Maßnahme besser über die schul- und datenschutzrechtlichen Bestimmungen informieren müssen. Ergänzend teilte sie mit, dass der Hausmeister auf Anordnung des Stadtbauamts die Kamera wieder abgebaut habe. Ich betrachte diese Angelegenheit als erledigt und sehe derzeit keinen weiteren Handlungsbedarf.

Diese Fälle können als Musterbeispiele dafür gesehen werden, wie wichtig es für Schulen sein kann, sich rechtzeitig, also im Vorfeld unüberlegter und gegebenenfalls illegaler Maßnahmen, über die Rechtslage zu informieren und sich dazu etwa an die Aufsichtsbehörden der Kultusverwaltung oder natürlich auch an mein Amt zu wenden.

4.2 Videoüberwachung im gemeindlichen Freizeitbad

Die einleitend erwähnten Entscheidungen des Bundesverfassungsgerichts zur Videoüberwachung machen deutlich, dass Behörden und sonstige öffentliche Stellen eine Videoüberwachungsmaßnahme - jedenfalls mit Aufzeichnung des gewonnenen Bildmaterials - nicht auf allgemeine datenschutzrechtliche Regelungen stützen können. Welche erheblichen Eingriffe in das Recht auf informationelle Selbstbestimmung damit verbunden sind, zeigt auch das folgende Beispiel. Es belegt, wie notwendig spezielle gesetzliche Regelungen sind, um Anlass, Zweck und Grenzen des Eingriffs präzise und normenklar festzulegen.

Mitte 2009 wandte sich die Inhaberin einer Schwimmschule an mich. Sie teilte mir mit, in dem kommunalen Freizeitbad, wo sie ihren Beruf ausübe, seien verschiedene Videokameras angebracht. Die Petentin warf ihrem Ex-Mann, der zugleich Betriebsleiter des Freizeitbads war, vor, auch sie und ihre Schwimmkurse während der Scheidungszeit auf diese Weise überwacht zu haben. Jedenfalls habe ihr Ex-Mann gegenüber dem Finanzamt in einer Steuerangelegenheit eine eidesstattliche Versicherung abgegeben, die darauf hindeute. Die Petentin hatte das offenbar auch dem Bürgermeister in einem Gespräch mitgeteilt. Der Bürgermeister habe das zum Anlass genommen, die bisher fehlenden Hinweisschilder auf die Videoüberwachung im Freizeitbad anzubringen.

Nachdem ich mich vergewissert hatte, dass die Petentin mit der Nennung ihres Namens gegenüber der Gemeinde einverstanden ist, bat ich diese um Stellungnahme. Die Anhörung der Gemeinde ergab Folgendes:

Der Bürgermeister stellte die Videoüberwachung nicht in Abrede. Vielmehr teilte er uns mit, dass insgesamt zehn Kameras, davon sieben im Innenbereich, in dem Bad im Einsatz seien. Die Kameras seien deutlich sichtbar aufgehängt. Außerdem würden gut erkennbare Schilder auf die Videoüberwachung hinweisen. Die Überwachungsmaßnahmen dienten zum einen der Abschreckung potenzieller Straftäter. Die vorübergehende Speicherung der Bilder solle außerdem dazu beitragen, Straftaten und Unfälle aufzuklären. Überwacht würden u. a. der Eingangs- und Kassenbereich, der Personalparkplatz, aber auch z. B. das Sportbecken (per Unterwasserkamera). In den Umkleidebereichen, in den Duschräumen sowie im gesamten Saunabereich finde keine Videoüberwachung statt. Der Monitor sei im Schwimmmeisterraum aufgestellt, Zutritt habe dort nur das Personal. Die automatisch gespeicherten Videoaufzeichnungen würden nach einer Woche gelöscht; auf die Aufzeichnungen könne nur der Betriebsleiter zugreifen. Dieser gebe die Aufzeichnungen lediglich bei Straftaten auf Anforderung an Polizei, Staatsanwaltschaft oder Gerichte heraus. Der Bürgermeister versicherte, "konkret" seien weder die Petentin noch deren Schwimmkurse überwacht worden. Er ließ mich wissen, dass er zwei Kameras, die für die Überwachung von Außenflächen bestimmt waren, abgeschaltet habe. Leider ging er auf den Kern meines Schreibens, nämlich auf die neue Rechtslage infolge der Entscheidung des Bundesverfassungsgerichts aus dem Jahr 2007 nicht weiter ein, offenbar in der Annahme, dass diese Entscheidung für den Innenbereich des Freizeitbads während der Öffnungszeiten nicht einschlägig sei.

Ich ließ den Bürgermeister und die Petentin wissen, dass ich die Videoüberwachungsmaßnahmen für rechtswidrig halte. Den Bürgermeister forderte ich auf, zur Vermeidung einer förmlichen Beanstandung die Überwachung - jedenfalls mit Aufzeichnung des gewonnenen Bildmaterials - unverzüglich zu beenden. Ich stieß aber leider nicht auf offene Ohren. Der Bürgermeister fühlte sich offenbar immer noch im Recht und hielt die Bundesverfassungsgerichtsentscheidung nicht für einschlägig, da das Freizeitbad nicht öffentlich zugänglich sei (wegen des zu entrichtenden Entgelts) und zum anderen die Besucher durch entsprechende Schilder auf die Videoüberwachung hingewiesen würden. Seit Neuestem enthielten diese Schilder zusätzlich noch folgenden Text: "Mit dem Betreten des … bzw. dem Lösen einer Eintrittskarte stimmt der Besucher der Videoüberwachung zu."

Da ich dem Bürgermeister nicht mangelnden Willen unterstellte, sondern seine Widerspenstigkeit auf die komplizierte Rechtslage zurückführte, habe ich der Gemeinde nochmals eine kurze Frist für das Abschalten der Videokameras bzw. für das Unterlassen von Aufzeichnungen während der Öffnungszeiten eingeräumt, um eine förmliche Beanstandung nach § 30 LDSG samt Unterrichtung der Rechtsaufsichtsbehörde zu vermeiden.

Daraufhin hat mir der Bürgermeister erfreulicherweise zugesagt, dass künftig während der Öffnungszeiten des Freizeitbads keine Bildaufzeichnungen mehr gefertigt werden.

Die Petentin habe ich hiervon unterrichtet.

Der Landesgesetzgeber sollte im Rahmen der Novellierung des Landesdatenschutzgesetzes die Videoüberwachung durch öffentliche Stellen alsbald so regeln, dass sowohl die Belange des Datenschutzes als auch die Sicherheitsinteressen gewahrt werden können.

4.3 Die unzulässige "Privatisierung" der Videoüberwachung auf dem Biberacher Gigelberg

Das Biberacher Schützenfest, ein Brauchtumsfest mit großer Tradition, das mit dem Festplatz auf dem Gigelberg und einer Vielzahl von Veranstaltungen im ganzen Stadtgebiet das örtliche Leben prägt, war auch 2008 und 2009 sicher - ohne Videoüberwachung. Die polizeilich erfassten Ereignisse wie Körperverletzungen, Widerstandshandlungen, Sachbeschädigungen, Diebstähle, Gewahrsamnahmen oder Ruhestörungen ließen nach Presseberichten im Vergleich zu den Vorjahren erkennen, dass die Zahl bestimmter Delikte gesunken, anderer dagegen gestiegen war. Von vergleichbaren anderen Veranstaltungen im Land unterschied sich dieses über eine Woche dauernde Brauchtumsfest damit nicht.

Bereits im 25. Tätigkeitsbericht für das Jahr 2004 (vgl. LT-Drucksache 13/3800) hatte mein Vorgänger darauf hingewiesen, dass auch größere Volksfeste ohne Verlust an Sicherheit auf eine Videoüberwachung verzichten. Schon damals war man in Biberach aber anderer Ansicht. Trotz einer angekündigten förmlichen Beanstandung wurde erst nach einer Entscheidung des Verwaltungsgerichts auf die Videoüberwachung verzichtet. Umso überraschender waren deshalb Presseanfragen im Jahr 2008, wonach ein Brauchtumsverein nunmehr durch eine entsprechende vertragliche Gestaltung die Videoüberwachung auf dem Gigelberg, dem zentralen Festplatz, durchführen solle.

Die Ahnung, dass die "Privatisierung" der Videoüberwachung dazu dienen sollte, eine Kontrolle durch den Landesbeauftragten für den Datenschutz zu vermeiden, bestätigte sich letztendlich, wie die Prüfung der von meinem Vorgänger informierten Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich ergab (vgl. Fünfter Tätigkeitsbericht des Innenministeriums 2009, Kap. B 11.2). Denn der private Brauchtumsverein sollte, wie sich dabei herausstellte, Aufgaben der Ortspolizeibehörde im Bereich der Gefahrenabwehr und zur Sicherung von Strafverfolgungsmaßnahmen umfassend übernehmen. Zu der gesamten Problematik vertrat das Innenministerium nicht zuletzt wegen der eindeutigen Rechtslage im Polizeigesetz die Auffassung, dass eine Übertragung der hoheitlichen Aufgaben nicht zulässig ist, was - nebenbei bemerkt - mein Vorgänger der Stadt zuvor schon "schwarz auf weiß" mitgeteilt hatte.

So traten die Beteiligten nach dem Verzicht auf Kameras im Jahr 2008 schon rechtzeitig für das Jahr 2009 den geordneten Rückzug an. Nach dem Fest stellten sie die Erfolge ihres Sicherheitskonzeptes für die Veranstaltung heraus. Wie Presseberichten zu entnehmen war, trug dieses Sicherheitskonzept, das mehr Ordnungskräfte auf Seiten des Veranstalters und eine entsprechende Verstärkung der Einsatzkräfte des Polizeivollzugsdienstes vorsah, nicht nur auf dem Festplatz, sondern auch an anderen Stellen in der Stadt zu einem friedlicheren Verlauf der Veranstaltung bei.

Die Vielzahl der Festbesucher konnte sich darüber rundum freuen, nicht zuletzt auch über den damit verbundenen Verzicht auf Eingriffe in ihr informationelles Selbstbestimmungsrecht.

4.4 Mannheim behält den Schutz vor Kriminalität im Fokus

Bereits im 21. Tätigkeitsbericht für das Jahr 2000 (vgl. LT-Drucksache 12/5740) wurde über die damaligen Absichten der Stadt Mannheim berichtet, an bestimmten Orten der Innenstadt eine Videoüberwachung zur Bekämpfung der Straßenkriminalität zu starten, obwohl die entsprechende Änderung des Polizeigesetzes erst noch in den Landtag eingebracht werden musste. Eine dagegen erhobene Klage wurde letztlich vom Verwaltungsgerichtshof Baden-Württemberg mit Urteil vom 21. Juli 2003, 1 S 377/02, abgewiesen, nachdem im Laufe des Verfahrens hinreichende Belege für die überdurchschnittliche Kriminalitätsbelastung der überwachten Bereiche nachgeschoben worden waren. Ende 2007 wurden die Kameras an drei Standorten abgeschaltet, nachdem die Kriminalitätsentwicklung dort deutlich zurückgegangen war. Zuvor kam jedoch ein weiterer - schon in den ursprünglichen Überlegungen enthaltener - Standort hinzu, der Platz vor dem Hauptbahnhof. Schon in der Prognose für die Rechtfertigung der Anordnung waren Aussagen zur Kriminalitätsbelastung dieses Bereichs enthalten. Auf weitere Nachfragen meiner Dienststelle teilte das Polizeipräsidium im Sommer 2009 die für die befristete Fortsetzung der Videoüberwachung erhobenen Erkenntnisse zu der Kriminalitätsbelastung dieses Platzes mit. Das nur etwa 10 000 Quadratmeter große Gebiet umfasste ca. 0,6 % des innerstädtischen Raumes; dafür sei die Kriminalitätsbelastung im Verhältnis zur Innenstadt 13-mal höher und die Innenstadt sei im Vergleich zum übrigen Stadtgebiet schon überproportional belastet.

Ein Vorfall, der auch den Landtag beschäftigte (vgl. LT-Drucksache 14/2398), betraf die zeitweise "Zweckentfremdung" einer Kamera am Bahnhofsvorplatz, um den Verkehr außerhalb des eigentlichen Einsatzbereichs zu beobachten. Dort hatte es Beschwerden über eine Blockade der Straßen und Lärmbelästigungen aus Anlass von Unabhängigkeitsfeiern von Kosovo-Albanern gegeben. Bei dieser Videobeobachtung, die eigentlich nur für Übersichtsaufnahmen des Verkehrsflusses gedacht war, hätte - wie das Polizeipräsidium im Nachhinein einräumte - die Möglichkeit des Wiedererkennens von bereits bekannten und durch besondere Merkmale leicht zu identifizierender Personen nicht gänzlich ausgeschlossen werden können. Daher prüfe es weitere technische bzw. mechanische Maßnahmen zur ausschließlichen Fokussierung der Kameras auf den bestimmungsgemäßen Überwachungsbereich. Später wurde uns das Ergebnis der Überlegungen mitgeteilt: Zwei der Kameras konnten jetzt nur in einen anderen als den vorgesehenen Bereich geschwenkt werden, wenn der eingesetzte Videobeobachter dieses freigab. Bei Verlassen des vorgegebenen Einsatzbereichs der Kameras werde dieses automatisch protokolliert. Meine Anregung, außerdem in geeigneter Form den Grund, die betroffene Person und das Ergebnis des "Schwenks" aktenkundig zu machen, traf auf offene Ohren. Denn das Polizeipräsidium hatte bereits selbst erkannt, dass im manuell geführten Videoprotokoll Angaben zum Grund, zur Eingriffsnorm, zum Anordnenden und zur Dauer der Maßnahme erfasst werden sollten. Nach dem Kameraschwenk, der den Landtag beschäftigt hatte, seien im Einsatztagebuch zwei weitere Fälle erfasst worden. In einem Fall sei ein Raubüberfall und im anderen ein Wohnungsbrand der Anlass gewesen. Auch diese Videoüberwachung war inzwischen Gegenstand eines verwaltungsgerichtlichen Verfahrens, das allerdings durch die Erklärung der Erledigung des Rechtsstreits beendet wurde. Ich werde den Einsatz der Mannheimer Kameras jedenfalls im Auge behalten und zu gegebener Zeit erneut kontrollieren.

Der gesamte Vorgang zeigt, dass es trotz der Änderung des Polizeigesetzes nicht einfach ist, rechtssicher eine Videoüberwachung anzuordnen und durchzuführen. Ohne eine laufende Beobachtung des Geschehens ist sie in ihrer Wirkung zweifelhaft. Videoaufzeichnungen, die lediglich der späteren Auswertung dienen, wenn "das Kind schon in den Brunnen gefallen" ist, widersprechen dem grundsätzlichen Auftrag der Polizei zur Gefahrenabwehr, also dem Präventionsgedanken.

5. Die Dienststelle in Zahlen

Die Ausstattung meiner Dienststelle blieb im Berichtszeitraum nahezu unverändert, wie man auch den jeweiligen Staatshaushaltsplänen (dort Einzelplan 03, Kap. 0303) entnehmen kann (vgl. im Internet www.statistik-bw.de/shp/):

• Die Dienststelle verfügt derzeit - einschließlich meiner Stelle - über elf Beamtenstellen (davon eine des gehobenen Dienstes) und fünf Angestelltenstellen. Dem entsprechen Personalausgaben von knapp 750 T€ (Soll 2009). In Bezug auf das "Betreuungsverhältnis" (Tausend Einwohner pro Mitarbeiter) liegt meine Dienststelle damit im Ländervergleich auf dem 16. und letzten Platz (Stand: 2008). Erfreulicherweise ist die Personalsituation meiner Dienststelle seit dem 1. Oktober 2009 durch die Abordnung eines Beamten des höheren Polizeivollzugsdienstes verbessert worden.
• Für sächliche Verwaltungsausgaben stehen meiner Dienststelle rund 65 T€ zur Verfügung (Soll 2009). Im Jahr 2010 ist u. a. im Hinblick auf meinen Vorsitz in der Konferenz der Datenschutzbeauftragten von Bund und Ländern eine vorübergehende Erhöhung vorgesehen. Im Jahr 2011 ist ein erhöhter Haushaltsansatz für die Ersatzbeschaffung der Telefonanlage eingeplant. In Bezug auf die Sachmittel in absoluten Zahlen liegt meine Dienststelle im Ländervergleich auf dem 15. und vorletzten Platz (vor dem Saarland). Andere Datenschutzbeauftragte mit vergleichbarem Aufgabenzuschnitt verfügen über die doppelte (Thüringen), vierfache (Bayern) oder gar siebenfache (Hessen) Sachmittelausstattung. Soweit meine Kollegen auch für den nichtöffentlichen Bereich und/oder das Thema Informationsfreiheit zuständig sind, liegen die absoluten Beträge noch erheblich höher.

Das landesweite Projekt der Einführung Neuer Steuerungsinstrumente (NSI), zu dem sich meine Dienststelle unter dem Aspekt des Personaldatenschutzes in früheren Jahren geäußert hatte (vgl. 23. Tätigkeitsbericht für das Jahr 2002, LT-Drucksache 13/1500; 24. Tätigkeitsbericht für das Jahr 2003, LT-Drucksache 13/2650), hat auch vor meiner Dienststelle nicht Halt gemacht. Im Hinblick auf meine Unabhängigkeit und die geringe Größe des Amtes sowie aufgrund der weitgehend durch Eingaben und Beschwerden der Bürger, also ohne meinen Einfluss, vorgegebenen Arbeitsbelastung wurde die Kosten-Leistungsrechnung in Absprache mit dem Innenministerium allerdings nur in vereinfachter Form eingeführt; zum Beispiel findet keine kostenträgerbezogene Zeit- und Mengenerfassung statt, sondern es werden - insbesondere für die "produktorientierten Informationen" im Staatshaushaltsplan - gewisse Kennzahlen statistisch erhoben und im Haushalt abgebildet. Dort sind auch folgende Ziele der Dienststelle genannt:

• Unterstützung des Bürgers bei der Wahrnehmung seines Datenschutzrechts,
• Verbesserung des Datenschutzniveaus,
• Förderung des Datenschutzbewusstseins.

Als Messgrößen zur Zielerreichung werden dort die jeweilige Anzahl der Eingaben, Kontrollen und Beratungen aufgeführt. Die entsprechenden Zahlenwerte stellen sich in Ist und Soll wie folgt dar:

*  Hochrechnung aufgrund der Zahlen des 1. bis 3. Quartals 2009.

Hinsichtlich der Anzahl der Eingaben ist darauf hinzuweisen, dass aufgrund der schwierigen Zuständigkeitsabgrenzung ein Teil an die Aufsichtsbehörde für den nichtöffentlichen Bereich abzugeben ist; umgekehrt gehen uns auch von dort weitergeleitete Eingaben zu.

In der Sitzung der Arbeitsgruppe "Produktinformationen" des Finanzausschusses vom 30. April 2009 hat eine Abgeordnete angeregt, für meine Arbeit möge eine Kennzahl ausgewiesen werden, wie viele meiner Initiativen "letztlich erfolgreich" gewesen seien. So gern ich meine Arbeit mit einer entsprechenden Kennzahl "schmücken" würde: Bisher habe ich noch kein taugliches Abgrenzungskriterium gefunden, was den "Erfolg" meines Handelns ausmacht. Auf manche Datenschutzprobleme werde ich zum Beispiel von Bürgern zum gleichen Zeitpunkt wie die Presse hingewiesen. Wenn die betroffene Behörde nun aufgrund von Presseanfragen und wegen meiner Recherchen reagiert, kann man darüber streiten, ob dies eher aus Sorge vor kritischen Presseartikeln oder vor einer förmlichen Beanstandung meinerseits erfolgte (oder aus beiden Gründen). Viel Aufwand bedeuten auch die Stellungnahmen zu Gesetzgebungsvorhaben und Projekten, die aber in der Regel schon von den jeweiligen Ministerien sorgfältig geprüft wurden; dass der Datenschutz hier noch "ein Haar in der Suppe" findet, ist eher die Ausnahme. Und wenn politische Vorfestlegungen - wie etwa beim Entwurf des Polizeigesetzes - zu einer kritischen Reaktion aus datenschutzrechtlicher Sicht führen, dann ist die Frage, welchen "Erfolg" mein Widerstand hatte, im Grunde überflüssig. Zahlreiche Eingaben führen aufgrund meiner Intervention allerdings zum gewünschten "Erfolg", etwa in der Weise, dass eine Behörde ihre bisherige Praxis ändert, Formulare anpasst oder Auskunft erteilt. Eine Statistik hierüber führe ich nicht. Vielfach muss ich empörten Bürgern auch mitteilen, dass eine öffentliche Stelle rechtmäßig handelte und warum kein datenschutzrechtlicher Verstoß festgestellt werden konnte. Wenn diese danach die Rechtslage besser verstehen, dann ist das in gewisser Weise auch ein "Erfolg".