Sie sind hier: > Start > Tätigkeitsberichte > 20. TB 2002 > 2. Überblick
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 12.12.2002
2. Überblick
2.1. Übersicht über einige wesentliche Punkte im Berichtszeitraum positiv und negativ
2.1.1. Polizeibereich
Teilweise umgesetzt wurden die Verbesserungen bezüglich der Datenspeicherungen im Kriminalaktennachweis, über die ich zuletzt (19. TB) berichtet hatte. Ein Hauptkritikpunkt war, dass entlastende Erkenntnisse aus weiteren Ermittlungen nicht ausreichend berücksichtigt wurden. So soll jetzt eine Prüfung der Speicherfrist nicht nur bei Aufnahme eines Ermittlungsverfahrens, sondern auch nach dessen Abschluss erfolgen, damit entlastende Erkenntnisse ebenso berücksichtigt werden können. Meine Forderung nach einem besonderen Hinweis, dass auch das "Ob" der Speicherung nochmals gesondert geprüft werden soll, wurde leider nicht aufgegriffen; ein solcher Hinweis sei wegen des allgemeinen Erforderlichkeitsgrundsatzes entbehrlich. Dagegen halte ich aus meiner Prüfungspraxis einen solchen konkreten Hinweis durchaus für angebracht, wie mehrere Beanstandungen (Nr. 6.1), aber auch Löschungen nach Aufforderung zeigen (Nrn. 6.4 und 6.5).
Erhebliche Ausweitungstendenzen sehe ich im Bereich der Speicherungen im Zusammenhang mit extremistischer Gewalt. So können auch sog. "sonstige Personen" gespeichert werden, von denen lediglich die Personalien festgestellt wurden, wenn "Tatsachen die Annahme rechtfertigen", dass diese sich in Zukunft an "politisch motivierten Straftaten von erhebliche Bedeutung" beteiligen. Welche Tatsachen sollen das sein? Die Prüfung von Speicherungen in diesem Bereich wird im nächsten Berichtszeitpunkt ein Schwerpunkt sein (Nr. 6.7).
Die Rasterfahndung durch das Bayerische Landeskriminalamt nach dem 11.September hat bis jetzt nur insoweit zu wesentlicher Kritik Anlass gegeben, als die Datei " Rasterfahndung BAO-USA ", in der sämtliche angefallene Daten gespeichert sind, auch nach Durchführung des Datenabgleichs und damit nach Abschluss der Rasterfahndung zwar gesperrt, aber gleichwohl für eventuelle zukünftige Rasterungen weiter vorgehalten wird. Diese Vorratsdatenspeicherung ist vom Gesetz nicht gedeckt, ich habe deshalb unverzügliche Löschung gefordert. Das Innenministerium lehnt sie ab. Dagegen wurden richtigerweise die Personen gelöscht, die dem Grundraster nicht unterfielen (Nr. 6.11).
DNA - Untersuchungen dürfen nach den Vorschriften der Strafprozessordnung nur durchgeführt werden, wenn ein Richter das angeordnet hat. In Bayern wird vielfach eine richterliche Anordnung nicht eingeholt, wenn der Betroffene sich mit der Untersuchung einverstanden erklärt hat. Von einer Beanstandung habe ich im Hinblick auf die schwankende Rechtsprechung - einige Entscheidungen halten eine Untersuchung auf der Grundlage einer Einwilligung für zulässig, andere nicht - abgesehen.
Auf Grund meiner Forderungen wurden aber die Formblätter zur Einwilligungserklärung wesentlich verbessert: Ausführliche Hinweise auf die gesetzliche Lage und die Folgen einer Einwilligung, nämlich den Verzicht auf die richterliche Überprüfung, ausreichende Überlegensfrist auch für Gefangene, keine Bezeichnung des Anschreibens als "Vorladung" (Nr. 6.12.2).
Nicht hinzunehmen ist dagegen, dass auch im Maßregelvollzug grundsätzlich mit "Einwilligungen" gearbeitet wird. Dort sind vielfach erhebliche Zweifel daran angebracht, dass die Betroffenen die Tragweite ihrer Entscheidung richtig abschätzen können. Ich habe deshalb das Staatsministerium des Innern aufgefordert, in diesem Bereich DNA-Analysen nur auf Grund richterlicher Anordnungen durchzuführen und eine Beanstandung angedroht. Das Staatsministerium hat meiner Forderung inzwischen im Grundsatz entsprochen, läßt aber immer noch die Möglichkeit der freiwilligen Einverständniserklärung offen unter der Voraussetzung, dass ein ärztliches Gutachten die Einsichtsfähigkeit bestätigt. Das ist eine Verbesserung. Der sauberste Weg wäre für mich gleichwohl, im Maßregelvollzug immer eine richterliche Entscheidung einzuholen (Nr. 6.12.3).
Ein Ärgernis ist auch der von mir seit langem kritisierte "datenschutzrechtliche Hinweis" auf einem Formblatt der Polizei, mit dem sie die Einwilligung erholt zur Erhebung besonders sensibler Daten z.B. Krankenhaus, Arzt, Finanzamt von Geschädigten, Zeugen, aber auch von Beschuldigten. Der Hinweis vermittelt den Eindruck, dass ansonsten die Befugnis ohne weiteres per richterlicher Anordnung durchgesetzt werden kann. Das ist angesichts strenger gesetzlicher Voraussetzungen durchaus nicht immer der Fall. Die Polizei wäre zu einer Änderung bereit gewesen, das Innenministerium hat das nicht zugelassen. Auch hier prüfe ich eine Beanstandung (Nr. 6.18).
Zur Videoüberwachung öffentlicher Plätze habe ich eine Befugnis im Polizeiaufgabengesetz gefordert. Diese wurde inzwischen in Gestalt des neuen Art. 32 Abs. 2 PAG geschaffen. Kritisiert habe ich die meiner Meinung nach zu lange Speicherfrist (maximal 2 Monate), die Möglichkeit von Tonaufnahmen und die im Zusammenhang mit den Richtlinien zu weitgehende Situierungsmöglichkeit (an jedem Platz, an dem Straftaten begangen wurden oder an dem damit zu rechnen ist). Das würde für jeden belebten Platz im Zentrum großer Städte gelten, was zu einer flächendeckenden Überwachung von Innenstadtbereichen führen könnte. Wie ich in meinem 19. TB (Nr. 5.6.4) ausgeführt habe, hielte ich das wegen des damit verbundenen ständigen Anpassungsdrucks für unzulässig.
Tatsächlich hat sich das Innenministerium und mit ihm die Polizei bei der Errichtung neuer Videoanlagen bis jetzt auf Plätze beschränkt, bei denen wegen des dort eindeutigen erhöhten Strafaufkommens nicht mit einer Ausweitung auf ganze Innenstadtbereiche zu rechnen ist: Auf dem Münchner Oktoberfest wurden neun Kameras installiert, die Nürnberger Polizei hat im Bereich vor dem Bahnhof zwei fest montierte, aber nicht verdrahtete ("Mobile") Kameras situiert. Auf dem Oktoberfest wurde erst auf meine Anforderung auf die Kameras durch Beschilderung hingewiesen, die Aufnahmen sollen im Hinblick auf das internationale Publikum erst nach zwei Monaten gelöscht werden. Diese Frist erscheint mir sehr lange. Auf der anderen Seite muss ich einräumen, dass u.a. im Hinblick auf gewisse internationale Postlaufzeiten so späte Anzeigen durchaus denkbar sind. Wichtig ist, dass Zugriffe protokolliert werden. Hierauf habe ich hingewiesen. In Nürnberg wird auf die Beobachtung durch Schilder hingewiesen, zu begrüßen ist die kurze Speicherfrist von 7 Tagen. Tonaufzeichnungen erfolgen in beiden Fällen nicht (Nr. 6.13).
Eine Video-Aufnahmen - Sequenz bei Versammlungen musste ich förmlich beanstanden (Nr. 6.14). Gelegentlich einer NPD-Versammlung in München hatte die Polizei friedliche Gegendemonstranten ("Zeigen Sie die rote Karte gegen rechts") sowie Passanten ausführlich videographiert. Diese Aufnahmen waren weder als Übersichtsaufnahmen, noch zur Gefahrenabwehr, noch aus Strafverfolgungsgründen gerechtfertigt. Der Vorgang ist umso bemerkenswerter, als ich im letzten Tätigkeitsbericht ausführlich über die Voraussetzungen von Aufnahmen bei Versammlungen referiert habe (19.TB Nr. 5.6.3).
Die Technik hält auch in weiteren Bereichen der polizeilichen Arbeit Einzug. Dem steht der Datenschutzbeauftragte nicht grundsätzlich negativ gegenüber. Meine Aufgabe ist es aber, auf das Einhalten der gesetzlichen Grenzen, bzw. auf das Vorliegen einer gesetzlichen Befugnis zu achten. Aus dieser Sicht musste ich den probeweise eingeführten automatischen Abgleich der Nummern aller vorbeifahrenden KFZ an einem Grenzübergang kritisch kommentieren. Hierfür gibt es derzeit keine Rechtsgrundlage. Der vom Innenministerium herangezogene Art. 13 PAG ermöglicht nur Stichproben im Einzelfall, nicht aber den lückenlosen Abgleich. Hierfür wäre eine Gesetzesänderung erforderlich. (Nr. 6.15 ).
2.1.2. Verfassungsschutz
Meine Prüfungen beim Verfassungsschutz haben wie in den Vorjahren wieder im allgemeinen datenschutzgerechtes Arbeiten ergeben.
Wesentliche Kritik muss ich in einem allerdings grundsätzlichem Problembereich anmelden: Das LfV hat im Zuge der Maßnahmen nach dem 11. September auf Ersuchen des Landeskriminalamtes, aber auch im eigenen Interesse, von verschiedenen Stellen die Datenbestände aller Personen, die bestimmte Kriterien erfüllen, erhoben und anschließend zum Teil maschinell mit eigenen Datenbeständen abgeglichen. Diese Maßnahme stellt eine Rasterfahndung dar, für die das LfV im Gegensatz zur Polizei keine Befugnis hat. Auf die vom LfV geltend gemachte anfänglich fehlende Absicht zum maschinellen Abgleich kann es angesichts des engen zeitlichen Zusammenhangs zwischen Datenerhebung und Abgleich - ein bis zwei Monate - nicht ankommen. Die Maßnahme war deshalb unzulässig. Ich habe den Vorgang wegen seiner grundsätzlichen Bedeutung beanstandet (Nr. 7.1) und die Löschung der durch die Rasterung gewonnenen Erkenntnisse gefordert.
2.1.3. Gerichte und Strafverfolgung und Strafvollzug
Im Gerichtsbereich beschäftigte ich mich u.a. mit der Veröffentlichung von Insolvenzdaten im Internet - Anregungen der Datenschutzbeauftragten wurden vom Bundesgesetzgeber mit einer Verordnungsermächtigung aufgegriffen (Nr. 8.1.1), der Anordnung über Mitteilungen in Zivilsachen - auch hier wurden Forderungen der Datenschutzbeauftragten berücksichtigt (Nr. 8.1.2) und den Aufbewahrungsbestimmungen in verschiedenen Gerichtszweigen, wobei auch hier einzelne Anregungen meinerseits übernommen wurden (Nr. 8.1.3).
Hier hervorheben möchte ich aus den Bereichen strafrechtliche Ermittlungen und Strafvollzug folgende Punkte:
Einem Betroffenen ohne Rechtsanwalt wurde Einsicht in Ermittlungsakten verweigert, obwohl das Strafverfahren durch rechtskräftigen Strafbefehl abgeschlossen war. Dieses Recht auf Akteneinsicht stand dem Betroffenen auch ohne Rechtsanwalt zu, obwohl zum damaligen Zeitpunkt die Strafprozessordnung dazu keine ausdrückliche Regelung enthielt. Das Auskunftsrecht ist wesentlicher Bestandteil des Rechts auf informationelle Selbstbestimmung, nur es gewährleistet das Recht zu wissen, wer, was, wann über jemand weiß und was mit diesem Wissen veranlasst wird. Nur auf der Grundlage solcher Informationen ist eine sachgerechte Rechtsverfolgung möglich. Die Verweigerung der Akteneinsicht zeugt deshalb von einem grundlegenden Missverständnis des Rechts auf informationelle Selbstbestimmung (Nr. 8.2.1.1).
Auch im Fall einer Anfrage des Betroffenen, ob dem Generalstaatsanwalt über das ihn betreffende Verfahren berichtet wurde, musste ich die Verweigerung der Auskunft rügen. Die Information des "Generals" stellt eine Datenübermittlung dar, zu der grundsätzlich Auskunft zu erteilen ist. Das Justizministerium hat diese Auffassung bestätigt (Nr. 8.2.1.2).
Eingesetzt habe ich mich, auch als Vorsitzender des Arbeitskreises Justiz der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, für eine datenschutzfreundliche Gestaltung staatsanwaltschaftlicher Informationssysteme. Viele Vorschläge wurden übernommen, es bleiben jedoch Defizite: So wird eine Sperrung (Zugang nur noch für einen sehr eng begrenzten Kreis anstatt aller Mitarbeiter einer Staatsanwaltschaft) abgelehnt von Daten Strafunmündiger, von Opfern von Sexualdelikten und von Mitbeschuldigten, deren Unschuld ausdrücklich festgestellt wurde. Weiter wurde ich von gravierenden Verlängerungen von Speicherfristen, die ich für nicht erforderlich halte, nicht informiert (Nr. 8.2.5).
Ein Schwerpunkt meiner Arbeit im Bereich der Justiz war auch die Datenverarbeitung in Justizvollzugsanstalten. U.a. habe ich mich im Hinblick auf das vom Bundesverfassungsgericht auch in diesem Zusammenhang besonders herausgestellte Brief- und Postgeheimnis gegen eine generelle Briefkontrolle in nahezu allen Justizvollzugsanstalten gewandt, allerdings ohne Erfolg (Nr. 8.3.1). Ich habe die Voraussetzungen dargelegt, unter denen Gefangene Einsicht in "ihren" Gefangenenpersonalakt verlangen können (Nr. 8.3.2). Ich habe gegenüber dem Staatsministerium der Justiz die Grenzen der Offenbarungsmöglichkeiten besonders geschützter ärztlicher Daten gegenüber der Anstaltsleitung aufgezeigt (Nr. 8.3.5.1). Eingesetzt habe ich mich auch für eine gesonderte Aufbewahrung besonders sensibler Daten, wie ärztliche Gutachten und Erkenntnisse aus der Besucherüberprüfung
Das Justizministerium hat auch dies abgelehnt, da dies vom Gesetzgeber nicht vorgeschrieben sei und alle Bediensteten zur Behandlung des Gefangenen aufgerufen seien (Nr. 8.3.5.2).
2.1.4. Kommunales und Meldewesen
Abgesehen von den Projekten zu Einführung von e-government, über die ich an anderer Stelle berichte (Nr. 17.1.2), hat die Nutzung des Internet im kommunalen Bereich auch im Berichtszeitraum wieder Fragen aufgeworfen. Nachstehende hebe ich hier hervor:
Quasi als ersten Schritt zum "electronic voting" kann der Wahlschein nunmehr auch per e-mail oder durch das web beantragt werden (ob weitere Schritte realisierbar sind, bleibt aus meiner Sicht im Hinblick auf das Wahlgeheimnis abzuwarten). Ich habe das Staatsministerium des Innern aufgefordert, bei den Gemeinden darauf hin zu wirken, dass bei Verwendung von "Internet-Formularen" auf die Unsicherheiten des Netzes hingewiesen wird und dass standardmäßig SSL-Verschlüsselung angeboten wird. Das Innenministerium hat die Kommunen entsprechend unterrichtet (Nr. 9.3).
Ein Thema war auch die Veröffentlichung von Sitzungsvorlagen im Internet. Diese Vorlagen dienen der Sitzungsvorbereitung der Ratsmitglieder. Die Daten von Personen in diesen Unterlagen sind nicht für die Öffentlichkeit bestimmt. Eine Veröffentlichung dieser Unterlagen im Netz kommt deshalb aus datenschutzrechtlicher Sicht überhaupt nur in Betracht, wenn sämtliche personenbezogenen Angaben aus den Unterlagen entfernt werden. Dazu zählen auch solche, aus denen auf bestimmte Personen geschlossen werden kann. Die "Bereinigung" der Unterlagen wird deshalb mit hohem Aufwand verbunden sein und wird in vielen Fällen unsicher sein. Das Staatsministerium des Innern rät deshalb und aus weiteren Gründen generell von einer Veröffentlichung dieser Unterlagen im Netz ab. Dieser Empfehlung schließe ich mich an (Nr. 9.4).
Auch auf anderem Feld wirft die technische Entwicklung datenschutzrechtliche Fragen auf: Viele Bürger bewegt die Sorge über schädliche Auswirkungen von Mobilfunk-Sendeanlagen. Städte werden deswegen mit Anfragen nach Standorten überhäuft. Einige Städte gehen deswegen dazu über, diese Standorte im Netz zu veröffentlichen. Eine klare gesetzliche Grundlage dafür fehlt bisher. Wir haben deswegen auf der jüngsten Datenschutzkonferenz auf diese Lücke hingewiesen und eine bundesgesetzliche Regelung gefordert (Anlage 24). Ich habe der Veröffentlichung von sichtbaren Standorten ohne Namen und sonstige persönliche Angaben des Grundstückseigentümers durch kreisfreie Städte nicht widersprochen, da die Anlage ohnehin gesehen werden kann und jedermann nach dem Umweltinformationsgesetz und den dazu erlassenen Ausführungsbestimmungen Anspruch auf Auskunft zu diesen Anlagen hat. Wegen der Offenkundigkeit solcher Anlagen sehe ich auch keine Gründe, die vom Grundstückseigentümer gegen eine solche Auskunft geltend gemacht werden könnten. Ich weise aber ausdrücklich darauf hin, dass das alles nur für sichtbare Anlagen gilt, und dass bezüglich der Veröffentlichung im Internet die Rechtslage mangels einer ausdrücklichen gesetzlichen Befugnisnorm nicht gesichert ist (Nr. 11.1).
Beanstanden musste ich die Veröffentlichung personenbezogener Daten eines Bürgers in einem straßenrechtlichen Planfeststellungsverfahren. Die Behörde hatte unter Namensnennung Ausführungen zu den wirtschaftlichen Verhältnissen des Betroffenen gemacht. Wie schon das Bundesverfassungsgericht ausführte, ist wegen der Möglichkeit der Vergabe von Betriebsnummern eine Namensnennung nicht erforderlich (Nr. 9.7).
Schließlich hat mich wie in der Vergangenheit die Nutzung des Melderegisters auch wieder beschäftigt. Das Meldegesetz sieht die Möglichkeit vor, dass Parteien und Wählervereinigungen sechs Monate vor allgemeinen Wahlen bestimmte Wählerdaten erhalten, wozu unter anderem nicht das Geburtsdatum gehört. Viele Wähler stehen eine solchen Auskunft negativ gegenüber, sie können deswegen einer Auskunftserteilung bei der Meldebehörde widersprechen. In einigen Fällen wurde dieses einschränkende Verfahren nicht beachtet - es wurden auch Geburtsdaten weitergegeben -, ich musste deshalb Beanstandungen aussprechen (Nr. 10.3).
Nicht immer ist die Datenübermittlung unzulässig: Der Rundfunk hat ein legitimes Recht auf seine Gebühren. Die Meldebehörden sind deswegen nach dem Bayerischen Meldegesetz und der Meldedaten-Übermittlungs-Verordnung befugt, u.a. bei An- und Abmeldungen die Anschrift der volljährigen Einwohner zu übermitteln. Bürger, die hier den Datenschutz zu Hilfe gerufen haben, musste ich deshalb enttäuschen (Nr. 10.4).
2.1.5. Steuerverwaltung
Aus dem Feld der Steuerverwaltung hebe ich hervor, dass für die Teilnahme am Verfahren "Elektronische Lohnsteuerkarte" ("ElsterLohn") das freiwillige Einverständnis des Arbeitnehmers erforderlich ist (Nr. 12.2).
Weiter habe ich die Finanzverwaltung auf die Problematik hingewiesen, die durch die Angabe der Steuernummer auf den Freistellungsbescheinigungen im Zusammenhang mit der sog. Bauleistungssteuer und durch Pflicht zur Angabe der Steuernummer auf Rechnungen nach der Neufassung des § 14 UStG entsteht. Es besteht die Gefahr, dass Dritte mit Kenntnis dieser Steuernummer die Möglichkeit erhalten, von den Finanzbehörden Steuerinformationen der Betroffenen zu bekommen (Nr. 12.3).
Daneben erhielt ich durch Eingabe Kenntnis von verschiedenen Verfahrensmängeln, die die Durchbrechung des Steuergeheimnisses zur Folge hatte. Die Finanzbehörden stellten dies nach Hinweisen durch mich ab (Nrn. 12.6 und 12.7).
2.1.6. Personalwesen
Zur Datenverarbeitung im Personalaktenbereich wurde ich im wesentlichen beratend tätig. Schwerpunkte waren die Verarbeitung und Nutzung von Personalaktendaten durch Übersichten über Abwesenheiten (Nr. 13.1.2) - keine Angabe von Gründen - und durch Zeiterfassungsdaten (Nr. 13.1.3) - auch hier keine Angabe von Gründen - , in Intranet und Internet (Nr. 13.1.4) - grundsätzlich Einwilligung erforderlich, außer bei offenkundigen Daten von Funktionsträgern -, in der Rechnungsprüfung (Nrn. 13.2.1 - 13.2.3) - Weiterleitung nur soweit für Zwecke der Rechnungsprüfung erforderlich - , schließlich mit der Erfassung von Daten von Berufsgeheimnisträgern (Nr. 13.3.2) - Aufzeichnung nur der Leistungsentgelte, nicht des Gesprächspartners - und mit Informations- und Einsichtsrechten der Personalvertretung (Nr. 13.4) - Einsicht nur, soweit für die Erfüllung bestimmter Aufgaben erforderlich.
2.1.7. Gesundheitswesen
Im Bereich Gesundheitswesen haben mich unter anderem folgende Themen beschäftigt:
Die Entschlüsselung des menschlichen Genoms hat auch grundlegende Folgen für das Recht auf informationelle Selbstbestimmung. Eine Arbeitsgruppe der Datenschutzkonferenz unter der Leitung meines Hamburger Kollegen, in der ich mitgearbeitet habe, hat Grundsätze für ein "Gendatenschutzgesetz" erarbeitet. Unter anderen wird ein strafbewehrtes Benachteiligungsverbot für den Fall gefordert, dass eine genetische Untersuchung abgelehnt wird. Weiter wird verlangt, dass das "Recht auf Nichtwissen" sichergestellt wird (Nr. 4.1).
Ich habe mich an der Diskussion zur Verstärkung der Patientenrechte auf Einsicht in die sie betreffenden ärztlichen Unterlagen sowie zur Verbesserung von Patienten-Informationssystemen beteiligt. Bei den Einsichtsrechten sollen bisherige Begrenzungen - Beschränkung bei sog. subjektiven Wertungen der Ärzte und bei Unterlagen der Psychiatrie - abgebaut werden, bei Patienten-Informationssystemen werden Kriterien zur Verbesserung der Qualität aufgestellt (Nr. 4.2).
In der fortwährenden Diskussion um die Einführung einer Gesundheitskarte mit medizinischen Informationen haben wir gefordert, dass die Patientenrechte auf freie Entscheidung, ob und welche Informationen sie ihrem Arzt zugänglich machen, gewahrt bleiben. Die Bundesregierung hat diese Grundsätze in mehreren Erklärungen übernommen. Die Realisierung in der Praxis muss jedoch aufmerksam beobachtet werden (Nr. 4.5).
Einige wesentliche Punkte aus dem schulischen Bereich:
Das Massaker in Erfurt hat offengelegt, dass Schulen die Eltern volljähriger Schüler ohne deren Einwilligung nicht über wesentliche Ereignisse im schulischen Leben ihres Sohnes oder ihrer Tochter informieren können. In der Beratung einer Änderung des Bayerischen Schulrechts konnte ich erreichen, dass eine gesetzliche Befugnis für derartige Informationen auf bestimmte gravierende Ereignisse beschränkt wird und eine Abwägung mit entgegenstehenden Interessen des Schülers bzw. der Schülerin vorschreibt. Nicht enthalten in der Novellierung ist die ausdrückliche Pflicht, den Schüler oder die Schülerin vor Unterrichtung der Eltern zu informieren. Ich halte das aber für selbstverständlich (Nr. 16.1.1).
Verbrechen in Schulen waren für nicht wenige Schulen auch Anlass, Videoüberwachung zu erwägen. Die Überwachung einzelner Schlüsselbereiche wie der Eingänge halte ich für datenschutzrechtlich möglich, soweit sie aus Sicherheitsgründen für erforderlich gehalten wird, und Intimbereiche ausgenommen werden. Ich habe aber auch darauf hingewiesen, dass das nicht zur flächendeckenden Dauerüberwachung führen dürfe, und eine Aufsicht durch Personen vorzuziehen ist. Weiter habe ich Beschränkungen hinsichtlich Auswertung und Aufzeichnung - Auswertung nur zur Täterfeststellung oder Beweissicherung, Speicherung maximal für drei Tage - genannt und die Information von Eltern, Lehrern und Schülern, sowie entsprechende Hinweise auf die Videoüberwachung gefordert (Nr. 16.1.4).
In das Lehrer-Fortbildungsprojekt "Intel - Lehren für die Zukunft" konnte ich mich einschalten, nachdem ich von meinem Saarländischen Kollegen auf dieses, von einer Firma initiierte, bundesweite Fortbildungskonzept zur Lehrerweiterbildung hingewiesen wurde. Ich habe veranlasst, dass in die Unterlagen auch datenschutzrechtliche Gesichtspunkte wie Hinweise auf die Risiken des Internets, auf technisch-organisatorische Sicherungsmaßnahmen und auf datenschutzrechtliche Bestimmungen aufgenommen werden. Ich bemängle aber ausdrücklich, dass ich nicht von vorneherein eingeschaltet wurde (Nr. 16.1.3).
2.1.9. Technik und Organisation
Im technisch-organisatorischen Bereich haben mich eine Reihe von Grundsatzthemen beschäftigt, von denen ich exemplarisch einige hier nennen möchte:
Die Entwicklung des Bayerischen Behördennetzes hat u.a. durch die Übertragung der übergreifenden Verantwortung für die Sicherheit auf eine Stelle wesentliche Fortschritte gemacht. Hierdurch wird einer wesentlichen Forderung von mir Rechnung getragen, eine über die Ressortgrenzen hinaus bindende Instanz für die Sicherheit der elektronischen Kommunikation zu schaffen. Andererseits konnte die flächendeckende Umsetzung einer starken Verschlüsselung durch S/MIME-Clients noch nicht erreicht werde. Immerhin sind inzwischen alle Behördenpoststellen mit PGP ausgestattet. Der im Herbst 2002 vollzogene Wechsel des Lizenzinhabers für PGP stellt eine Fortentwicklung des Produktes mit offengelegtem Quellcode und auch die Verfügbarkeit einer Freeware-Version für Privatanwender sicher (Nr. 17.1.1).
Die Projekte zur Einführung von e-government werden weitergeführt. Hervorzuheben ist das Curiavant - Projekt im Raum Nürnberg (früher Media@KOMM), an dessen datenschutzgerechter Ausgestaltung ich mitwirke. Ebenso zu nennen ist die Arbeit unter Federführung meine Niedersächsischen Kollegen, mit der ein Kompendium für eine bürgerfreundliche und datenschutzgerechte Ausgestaltung von e-government Anwendungen entwickelt wird. Mit dessen Abschluss rechne ich Anfang 2003 (Nr. 17.1.2).
Ein wichtiges Projekt ist die Entwicklung von Prüfkriterien für datenschutzfreundliche Produkte, sog. Common Criteria. Die im letzten TB angesprochene Entwicklung wurde, zunächst unter meiner Federführung, dann vom Bundesamt für Sicherheit in der Informationstechnik fortgeführt und schließlich mit der Evaluierung und Registrierung zweier Schutzprofile für die "Benutzerbestimmbare Informationsflusskontrolle" abgeschlossen (Nr. 17.1.3 ).
Biometrische Verfahren wie die Gesichtsfelderkennung und das Erkennen digitalisierter Fingerabdruck stehen seit dem Terrorismusbekämpfungsgesetz in der öffentlichen Diskussion. Ich habe - auch im Rahmen der Konferenz der Datenschutzbeauftragten des Bundes und der Ländern - dazu vertreten, dass ich zentrale Dateien zur Speicherung biometrischer Daten aller Bürger ablehne. Das gilt insbesondere für die Speicherung von Fingerabdrucken aller Bürger, die damit unverschuldet in polizeiliche Fahndungsmaßnahmen einbezogen werden könnten. Zum Gesamtkomplex nehme ich aus technisch-organisatorischer Sicht unter Nr. 17.1.4. Stellung.
Kostendruck und die immer komplexeren Datenverarbeitungssysteme bringen zunehmend Kommunen zum Outsourcing von DV-Leistungen und zur Auslagerung von Datenbeständen. Ich bin hier vielfach beratend tätig geworden, um mögliche Wege der Realisierung aufzuzeigen, mußte aber auch auf gesetzliche Grenzen und Nachteile hinweisen. In bestimmten Feldern sind dem Outsourcing gesetzliche Grenzen gesetzt, so zum Beispiel in der Verarbeitung von Sozial- oder Meldedaten, in anderen Fällen setzt die Sensibilität der Daten der Auslagerung Grenzen, so z.B. für Patientendaten. Auch die Frage, inwieweit sich die Kommune bei der Erledigung ihrer Aufgaben von privaten Dienstleistern vollständig abhängig machen kann, ist zu überlegen. Im einzelnen verweise ich auf meine Ausführungen unter Nrn. 17.1.5 und 17.3.3.
Im Berichtszeitraum habe ich 10 Einrichtungen auf die Einhaltung der gebotenen technischen und organisatorischen Sicherheitsmaßnahmen geprüft. Das Ergebnis ist unterschiedlich. Mängel zeigten sich u.a. in der fehlenden Verschlüsselung bei der Datenübermittlung über das Internet ("Sicherheit vergleichbar mit einer offenen Postkarte, die mit Bleistift geschrieben, nicht unterschrieben ist und einem unbekannten auf der Straße zum Transport übergeben wurde"), in der Absicherung gegen Gefahren aus dem Internet (u.a.Viren) und in der Umsetzung der Verpflichtungen aus dem Teledienste- und Medienrecht auf Aufklärung über die Verarbeitung von personenbezogenen Informationen und zur Anbieterkennzeichnung. Diese Verpflichtungen waren vielfach völlig unbekannt.
2.2. Nationale und internationale Zusammenarbeit der Datenschutzbeauftragten
Gerade wegen des grenzüberschreitenden Charakters der Datenverarbeitung muss auch Datenschutz grenzüberschreitend sein. Dazu trägt bei die Europäische Datenschutzrichtlinie EU 95/46/EG mit dem grundsätzlichen Gebot, dass Datenexport in Nicht-EG-Länder ein angemessenes Datenschutzniveau voraussetzt, dazu trägt auch die nationale und internationale Zusammenarbeit der Datenschutzbeauftragten in Datenschutzkonferenzen und ihren Arbeitskreisen bei.
Wie in den vergangenen Jahren habe ich an den halbjährlich Konferenzen der Datenschutzbeauftragten des Bundes und der Länder teilgenommen. Die dort gefassten Beschlüsse, die - nach teilweise ausführlicher Diskussion - sämtliche ohne Gegenstimme, meist einstimmig zustande gekommen sind, sind in der Anlage wiedergegeben. Hervorheben möchte ich hier die Beschlüsse zum "Datenschutz beim elektronischen Geschäftsverkehr" (Anlage2) aus der 61. Konferenz, zu "Biometrischen Merkmalen in Personalausweisen und Pässen" (Anlage 16), zur Gefährdung von Freiheits- und Persönlichkeitsrechten im Zuge der Terrorismusbekämpfung (Anlage 15) und zu "Datenschutzrechtliche Anforderungen an den Arzneimittelpass" (Anlage 11) aus der 62. Konferenz, sowie "zum Umgang mit personenbezogenen Daten bei Anbietern von Tele-, Medien- und Telekommunikationsanbietern" aus der 63. Konferenz (Anlage 21). Die Verhandlungen der Datenschutzkonferenz werden in Arbeitskreisen vorbereitet, von denen die Federführung für die Arbeitskreise Justiz und Gesundheit und Soziales bei mir liegt.
Auf Internationaler Ebene habe ich bzw. meine Mitarbeiter an den Europäischen Konferenzen in Athen und Bonn sowie an der Internationalen Konferenz in Cardiff im Herbst dieses Jahres teilgenommen. Wesentliche Themen waren Cyberkriminalität und Datenschutz und Arbeitnehmerdatenschutz (Athen), biometrische Identifikationsmerkmale und e-government (Bonn), sowie Videoüberwachung und erneut Biometrie und Telekommunikationsüberwachung (Cardiff)
Nicht zuletzt für eine intensivere Zusammenarbeit und auch Arbeitsteilung unter den Datenschutzbeauftragten beteilige ich mich auch an einem "Virtuellen Datenschutzbüro" (http://www.privacyservice.org/ (externer Link)) das auf eine Initiative meines schleswig-holsteinischen Kollegen Helmuth Bäumler zurückgeht. Ich habe das virtuelle Datenschutzbüro in meinem letzten TB ausführlich vorgestellt (19. TB, Nr. 1.1.3). Es soll der Globalisierung und Vernetzung der Datenverarbeitung Rechnung tragen, über das Internet den Bürgern in aller Welt als zentrale Ansprechstelle für jegliche Datenschutzfragen dienen, es soll ein Diskussionsforum für aktuelle Fragen des Datenschutzes bereitstellen, es soll der Datensicherheit sowie der Realisierung von datenschutzfreundlichen Verfahren dienen und nicht zuletzt soll es als eine Plattform für eine weiter verbesserte Zusammenarbeit der Datenschutzbeauftragten fungieren. An dem "Virtuellen Datenschutzbüro" beteiligen sich inzwischen als Projektpartner Datenschutzbeauftragte aus dem In- und Ausland sowohl aus dem staatlichen, wie aus dem Verbands- und Privatbereich.
2.3. In eigener Sache
Zum 31. März dieses Jahres ist meine erste Amtsperiode abgelaufen. Der Bayerische Landtag hat mich auf Vorschlag der Staatsregierung in seiner Sitzung vom 30.01. dieses Jahres mit Wirkung vom 01.04. dieses Jahres mit sehr großer Mehrheit (eine Gegenstimme, sieben Enthaltungen) für eine weitere Amtszeit zum Landesbeauftragten für den Datenschutz gewählt. Über das durch die Wahl ausgesprochene Vertrauen des Bayerischen Landtags habe ich mich sehr gefreut. Ich sehe darin eine Würdigung der Arbeit der Institution Landesbeauftragter für den Datenschutz in Bayern. Wesentlicher Teil dieser Institution ist die Geschäftsstelle des Landesbeauftragten.
Leider hat es inzwischen Entwicklungen gegeben, die bei ihrer vollständigen Realisierung die Arbeitsfähigkeit der Geschäftsstelle wesentlich beeinträchtigt hätten. Der Oberste Rechnungshof hatte in einem Gutachten zur Organisation der Geschäftsstelle vorgeschlagen, die bisherigen vier Verwaltungs- und Rechtsreferate auf zwei Referate, die zwei technisch-organisatorischen Referate auf ein Referat zu kürzen. Mit dieser Verkleinerung sollte eine Herabstufung von drei Referatsleiterstellen verbunden sein.
Angesichts der komplexen Aufgaben meiner Dienststelle, die die Umsetzung der unterschiedlichsten datenschutzrechtlichen Vorschriften in der gesamten öffentlichen Verwaltung in Bayern einschließlich aller Kommunen und Bayerischen Körperschaften und Anstalten beratend begleiten und nachgehend kontrollieren soll, hätte eine derartige Reduzierung der Organisation meiner Dienststelle eine nachhaltige Verschlechterung ihrer Arbeitsfähigkeit und damit eine erhebliche Qualitätsminderung des Produktes "Datenschutz" bedeutet.
Bei der unterschiedlichen Ausgestaltung der datenschutzrechtlichen Vorschriften in den verschiedenen Verwaltungsbereichen - von den Datenschutzvorschriften im Polizeirecht und im Melderecht, über die Datenschutzvorschriften im Sozialbereich bis hin zum Datenschutz im Gesundheitswesen, um nur Beispiele zu nennen - ist auch für den Referatsleiter ein hohes Maß an Spezialwissen zu fordern, das in einem großen Flächenstaat von nur zwei Referatsleitern nicht mehr in der bisherigen Qualität zu gewährleisten wäre.
Die Reduzierung auf zwei Referate im rechtlichen Bereich hätte deswegen eine Verflachung der Arbeit zur Folge gehabt, verbunden mit Flaschenhalssituationen auf der Referatsleiterebene und den damit einhergehenden Verzögerungen.
Realisierbar war dagegen die vom ORH ebenfalls vorgeschlagene Zusammenfassung der zwei technischen Referate.
Inzwischen wurde der Haushalt 2003/2004 meiner Geschäftsstelle im Haushaltsausschuss des Bayerischen Landtags beraten. Die dort beschlossenen Maßgaben erlauben die notwendige Aufrechterhaltung der bisherigen Struktur meiner Geschäftsstelle und die Gleichstellung mit der Ministerialebene, was für die Gewinnung von qualifizierten Mitarbeitern gegenüber den Ministerien von wesentlicher Bedeutung ist.