Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 18.12.1998

Um diese Seite zu drucken, benutzen Sie bitte die "Drucken"-Funktion Ihres Browsers (etwa im Menü Datei->Drucken). Danach dieses Fenster bitte wieder schließen.

1. Neuer Standort des Datenschutzes in Bayern

Mein 18. Tätigkeitsbericht steht unter dem gleichen Motto wie mein vorheriger Tätigkeitsbericht:

Datenschutz ist Grundrechtsschutz.

Dieses Motto erhält jetzt zusätzliches Gewicht dadurch, daß durch die Änderung der Bayerischen Verfassung vom 20. Februar 1998 die Institution Landesbeauftragter für den Datenschutz in die Bayerische Verfassung aufgenommen wurde.

Nach Art. 33a BV, der zum Teil am 1. März, zum Teil am 1. Oktober dieses Jahres in Kraft getreten ist,

  • wird der Landesbeauftragte in Zukunft vom Landtag auf Vorschlag der Staatsregierung auf die Dauer von 6 Jahren gewählt, anstatt wie bisher von der Staatsregierung mit Zustimmung des Landtags auf die Dauer von 8 Jahren berufen,
  • untersteht er der Dienstaufsicht des Präsidenten des Bayerischen Landtags, anstatt wie bisher der Dienstaufsicht des Ministerpräsidenten,
  • kann er nur, wenn eine entsprechende Anwendung der Vorschriften über die Amtsenthebung von Richtern auf Lebenszeit dies rechtfertigt, mit Zwei-Drittel Mehrheit abberufen werden.
  • Ebenfalls in die Verfassung aufgenommen wurde die Kontrollaufgabe des Landesbeauftragten, allerdings "nach Maßgabe des Gesetzes".

Nach der zur Ausführung dieser neuen Verfassungsbestimmung ergangenen Änderung des Bayerischen Datenschutzgesetzes vom 10. Juli 1998 ist meine Geschäftsstelle seit 1. Oktober dieses Jahres anstatt wie bisher bei der Staatskanzlei in Zukunft beim Bayerischen Landtag eingerichtet.

Ich sehe in diesen Änderungen eine Stärkung der Stellung des Bayerischen Landesbeauftragten für den Datenschutz. Durch die Aufnahme der Institution des Datenschutzbeauftragten und seiner Kontrollaufgabe in die Verfassung wird der Schutz des Rechts auf informationelle Selbstbestimmung als verfassungswerte Institution von der Bayerischen Verfassung anerkannt. Eine Ausweitung der Kontrollzuständigkeit ist wegen des Gesetzesvorbehalts damit zwar nicht verbunden, die Problematik der Einschränkung meiner Kontrollbefugnis in Akten auf Vorgänge, für die ich einen Anlaß zur Kontrolle habe, besteht nach wie vor (vgl. dazu unten Nr. 1.5). Ich meine aber, daß die Aufnahme der Institution des Datenschutzbeauftragten in die Verfassung ihr ein größeres und nach den Ausführungen des Bundesverfassungsgerichts in seinem Volkszählungsurteil auch zukommendes Gewicht gibt. Das Bundesverfassungsgericht hat dort betont, daß die Beteiligung unabhängiger Datenschutzbeauftragter von erheblicher Bedeutung für einen effektiven Schutz des Rechts auf informationelle Selbstbestimmung ist.

Ich verspreche mir von der Aufnahme in die Verfassung und der Zuordnung zum Landtag auch eine bessere Anerkennung des Landesbeauftragten als regierungsferne Kontrollinstitution. Zur rechtlichen und tatsächlichen Stärkung der Unabhängigkeit war die Änderung zwar nicht nötig - die Unabhängigkeit war auch unter der bisherigen Rechts- und Sachlage in vollem Umfang gegeben - das Bild nach außen als Kontrollorgan ist mit der Herausnahme aus dem Bereich der Staatskanzlei und mit der Zuordnung zum Landtag, dem ja auch die Kontrolle der Regierung obliegt, aber jetzt deutlicher.

1.1. Neue Aufgaben für den Datenschutz

Schon in meinem 17. Tätigkeitsbericht habe ich darauf hingewiesen, daß sowohl die technische als auch die organisatorische Entwicklung, wie auch die gestiegenen Bedürfnisse nach Datenverarbeitung auch den Datenschutz vor neue Aufgaben stellen. Diese Entwicklung hat sich fortgesetzt. Datenverarbeitung ist immer mehr dezentral, vernetzt und - auch im öffentlichen Bereich - international. Der Umfang der Datenverarbeitung steigt auch mit wachsendem Bedarf nach Sicherheit und mit wachsenden Kontrollanforderungen gegen Mißbräuche des Sozialleistungswesens.

Aufgabe des Datenschutzes in diesem veränderten Feld ist es zu gewährleisten, daß in die Rechte der Bürger nur soweit eingegriffen wird, als das zur Erfüllung der öffentlichen Aufgaben erforderlich ist und nur soweit, als das im Licht des Grundrechts auf informationelle Selbstbestimmung auch verhältnismäßig ist. Wenn von Seiten des Datenschutzes in Erfüllung dieser Aufgabe Forderungen nach Begrenzung oder Umgestaltungen erhoben werden, dann darf das nicht mit der Kampfparole "Datenschutz ist Täterschutz" abgewehrt werden, auch deswegen nicht, weil recht verstandener Datenschutz auch die berechtigten Bedürfnisse der Verwaltung in seine Beurteilung einbezieht. Es ist aber Aufgabe des Datenschutzes, auf die Grenzen hinzuweisen, die sich aus den verfassungsrechtlichen Prinzipien der Erforderlichkeit und der Verhältnismäßigkeit, sowie aus den gesetzlichen Datenverarbeitungsbegrenzungen ergeben, und auf die Einhaltung dieser Grenzen hinzuwirken. Das sollte nicht in dieser Weise desavouiert werden.

Seine Aufgaben wird der Datenschutzbeauftragte auch in Zukunft jedenfalls auch im Weg der nachträglichen Kontrollen erfüllen müssen. Daß dadurch zahlreiche Schwachpunkte aufgezeigt werden, lege ich in diesem Bericht im einzelnen und in diesem Abschnitt in einem kurzen Überblick dar. Ich bin deshalb skeptisch gegen Forderungen in der datenschutzrechtlichen Diskussion, daß man von der großen Gewichtung der Kontrollen wegkommen müsse.

Datenschutz darf sich aber nicht nur als reine Kontrolleinrichtung verstehen. Datenschutz ist vielmehr in wesentlicher Hinsicht Dienstleistung am Bürger. Die Institution Datenschutzbeauftragter ist deshalb Kontrollinstanz, aber genauso ein "Dienstleistungsbetrieb Datenschutz".

Dieser "Dienstleistungsbetrieb Datenschutz" soll Anwalt des Bürgers und kritischer Partner der Verwaltung sein. Der "Dienstleistungsbetrieb Datenschutz" kommt auch der Verwaltung zu Gute. Durch rechtzeitige Beratung bei der datenschutzrechtlichen Gestaltung von Verwaltungsabläufen können sichere und datenschutzrechtlich akzeptable Verfahrensweisen gefunden werden, die die Bedürfnisse der Verwaltung erfüllen und die Rechte der Bürger wahren. Sie tragen dadurch auch zur besseren Akzeptanz dieser Abläufe durch den Bürger bei. Sie können als "vertrauensbildende Maßnahmen" angesehen werden. Beispiele sind u.a. Forschungsvorhaben, Gesundheitsuntersuchungen ("Neugeborenen-Screening") und Nachweise früherer Behandlungen zur Anerkennung einer beruflichen Qualifikation (Approbation von Psychologen nach dem Psychotherapeutengesetz).

Im Zusammenhang mit dem Stichwort "Neue Aufgaben" nenne ich auch die Umsetzung der EG-Datenschutzrichtlinie. Sie wäre bis Oktober 1998 durchzuführen gewesen. Dieses ist sowohl im Bund, wie in Bayern nicht erfolgt. Die EG-Datenschutzrichtlinie wird im privaten Bereich weitergehende Änderungen bedingen als im öffentlichen Bereich. Aber auch im öffentlichen Bereich wird zu prüfen sein, inwieweit die Bürgerrechte, insbesondere Widerspruchs-, Informations- und Auskunftsrechte, sowie die Regelungen über den Umgang mit sensiblen Daten, im Hinblick auf die Richtlinie zu verbessern sind.

Die Umsetzung der EG-Richtlinie muß vor allem auch Anlaß sein, im neuen Datenschutzrecht auf die Entwicklungen der vergangenen 20 Jahre einzugehen. So sind Regelungen für Chipkartenanwendungen (z.B. über die datenschutzrechtliche Verantwortlichkeit und die Rechte des Karteninhabers, z.B. in Bezug auf Freiwilligkeit und Transparenz) genauso notwendig, wie für Voraussetzungen, Umfang und Grenzen der Videoüberwachung. In das neue Datenschutzrecht sind auch Prinzipien modernen Datenschutzes aufzunehmen, durch die der Anfall personenbezogener Daten von vornherein minimiert werden soll, wie der Grundsatz der Datensparsamkeit, die Möglichkeit der Anonymisierung und das Verwenden von Pseudonymen. Diese Forderungen, die den Begriff der Erforderlichkeit spezifizieren und nicht seinetwegen überflüssig sind, sind im neuen Teledienstedatenschutzgesetz und im Mediendienstestaatsvertrag enthalten und können als Modell für eine moderne Datenschutzregelung dienen.

1.2. Übersicht über meine Tätigkeit im Berichtszeitraum (anhand einer Auswahl wesentlicher Einzelfeststellungen)

  1. Im Bereich Polizei habe ich in nicht geringer Anzahl Mängel festgestellt.
    Exemplarisch nenne ich hier:
  2. Im des Landeskriminalaktennachweis (vgl. Nr. 5.3.1 dieses Tätigkeitsberichts), in dem 1,37 Mio. Personendatensätze (erster Platz unter den Flächenländern) enthalten sind,
    • erfolgt bei Verfahrenseinstellung durch die Staatsanwaltschaft seitens der Polizei regelmäßig keine Einzelfallprüfung, ob die Weiterspeicherung zur Kriminalitätsbekämpfung notwendig ist,
    • werden die im Gesetz vorgesehenen Höchstspeicherfristen als Regelfristen mißverstanden,
    • werden entgegen der Rechtsprechung seit 1996 die Speicherfristen nicht für jeden Fall gesondert festgelegt, sondern jeweils nach der längsten Speicherung;

    Ich habe das Innenministerium aufgefordert, diese Verfahrensweise zu ändern.

  3. In der Datei "Pkw-Aufbrüche/Einbruchsdiebstähle" (vgl. Nr. 5.4.3 dieses Tätigkeitsberichts) eines Polizeipräsidiums werden nicht nur Beschuldigte, sondern auch nicht belastete Mitteiler und Anzeigeerstatter genauso 10 Jahre gespeichert; das Staatsministerium des Innern hat dies wegen einer seiner Ansicht nach erfahrungsgemäß möglichen Beteiligung der Genannten gerechtfertigt; ich habe das als unzulässige Datenspeicherung auf Vorrat kritisiert und eine Verkürzung der Speicherfristen auf das zur Sachbearbeitung Notwendige gefordert.
  4. Bei einem Polizeipräsidium werden erkennungsdienstliche Maßnahmen (Polaroidphotos; vgl. Nr. 5.5.6 dieses Tätigkeitsberichts) gegen Personen durchgeführt, die auf Grund von einzelnen Erkennungsmerkmalen (z.B. punkerartige Kleidung, Besuch einschlägiger Lokale) bestimmten delinquenten Gruppierungen zugeordnet werden, ohne daß die gesetzlichen Voraussetzungen (Beschuldigter in einem Strafverfahren oder sonstiger konkreter Verdacht einer Straftat) vorlägen. Das Polizeipräsidium vertritt die Auffassung, daß die letztgenannte Voraussetzung bereits mit der o.g. Zuordnung zu einer solchen Gruppierung, aus der heraus Straftaten begangen wurden, erfüllt ist. Ich halte diese Auffassung für nicht vertretbar.

Unsere Prüfungen haben aber auch in weiten Bereichen keine datenschutzrechtlichen Mängel ergeben; so habe ich z.B. bei der Prüfung der Datenverarbeitung im Zusammenhang mit elektronischen Überwachungsmaßnahmen nach dem Polizeiaufgabengesetz (vgl. Nr. 5.5.2 dieses Tätigkeitsberichts) und von Telephonüberwachungsmaßnahmen nach der Strafprozeßordnung (vgl. Nr. 5.5.3 dieses Tätigkeitsberichts) keine grundsätzlichen Mängel festgestellt.

  1. Im Bereich Datenverarbeitung im Sozialwesen haben mich unter anderem die Grenzen der Datenübermittlungsbefugnisse zwischen Sozialämtern und Polizei, die Datenabgleichsmöglichkeiten zur Mißbrauchskontrolle und die Frage des Einsatzes von Sozialhilfeermittlern sehr beschäftigt.
  2. Da § 68 des X. Buches des Sozialgesetzbuches in der bisherigen, inzwischen allerdings geänderten Fassung, u.a. nur die Übermittlung "der derzeitigen Anschrift" an die Polizei zugelassen hatte, mußte ich eine weitergehende Weisung des Arbeits- und Sozialministeriums beanstanden (vgl. Nr. 4.5.3 dieses Tätigkeitsberichts). Entgegen diesem für mich klaren Wortlaut forderte die Weisung zur Ermittlung von durch die Polizei Gesuchten, daß die Sozialämter der Polizei auch Mitteilung über zukünftige Vorsprachetermine machten. Die Weisung sollte es ermöglichen, daß die Gesuchten dann bei der Vorsprache beim Sozialamt von der Polizei festgenommen werden können. Mein Hinweis, daß solche Mitteilungen nur u.a. bei Ermittlungen wegen Sozialhilfebetrug und mit richterlicher Genehmigung bei Straftaten von erheblicher Bedeutung zulässig seien, brachte keine Änderung der Weisung. Ich habe mich daraufhin entsprechend dem Bayerischen Datenschutzgesetz an die Staatsregierung und den Landtag gewandt. Diese haben die Weisung des Arbeits- und Sozialministeriums bestätigt.

    Der Vorgang zeigt exemplarisch die begrenzten Einflußmöglichkeiten des Datenschutzbeauftragten.

    Inzwischen wurde die genannte Bestimmung auf die Übermittlung auch "des künftigen Aufenthalts" erweitert, um die genannten Auskünfte zu ermöglichen.
  3. Ein weiterer Schwerpunkt im Bereich Datenverarbeitung im Sozialwesen war die Frage, welche Datenabgleichsmöglichkeiten zur Mißbrauchskontrolle zusätzlich zu den vorhandenen Möglichkeiten erforderlich seien.
    Hier hatte eine Arbeitsgruppe der Arbeits- und Sozialministerkonferenz eine Vorlage erarbeitet, die über die gegebenen Möglichkeiten hinaus wesentliche Erweiterungen der Kontroll- und Abgleichsmöglichkeiten auch ohne einen konkreten Mißbrauchsverdacht forderte (vgl. Nr. 4.2 dieses Tätigkeitsberichts).

    Dazu hat die Datenschutzkonferenz entsprechend einem Vorschlag ihres unter meiner Leitung stehenden Arbeitskreises "Gesundheit und Soziales" u.a. gefordert, daß vor der Einführung neuer Kontrollmechanismen, die das bisherige ausgewogene System von Kontrollmöglichkeiten sprengen würden, die bestehenden Kontrollmechanismen ausgeschöpft werden, die sehr wohl die erforderlichen Prüfungen auf das Vorliegen der Leistungsvoraussetzungen und auch bestimmte Datenabgleiche zulassen (vgl. Anlage 9 zu diesem Tätigkeitsbericht).

    Die Arbeits- und Sozialministerkonferenz hat in ihren Beschluß beide Vorlagen aufgenommen.
  4. Zu den Sozialhilfeermittlern (vgl. Nr. 4.5.4 dieses Tätigkeitsberichts) habe ich festgestellt, daß ihr Einsatz erst in Frage kommt, wenn andere, weniger eingreifende Maßnahmen ausgeschöpft sind, daß sie gegenüber dem Betroffenen offen auftreten müssen, daß sie sich keinen Zutritt zur Wohnung erzwingen oder erschleichen dürfen, daß bei der Befragung von Dritten besondere Zurückhaltung zu üben ist und daß gegen eine verdeckte Beobachtung größte Bedenken bestehen.
  5. Im Gesundheitswesen hebe ich die Themen Datenschutz und Forschungsfreiheit, datenschutzfreundliche Gestaltung von Befähigungsnachweisen nach dem Psychotherapeutengesetz und die datenschutzgerechte Einrichtung von klinischen Informationssystemen hervor.
  6. Bei Forschungsvorhaben ist es mir ein wesentliches Anliegen, sowohl dem informationellen Selbstbestimmungsrecht, wie auch dem Grundrecht auf Forschungsfreiheit gerecht zu werden. Beide Grundrechte müssen im Sinn der praktischen Konkordanz zu einer Optimierung gebracht werden.

    Gespräche mit der Deutschen Arbeitsgemeinschaft für Epidemiologie (vgl. Nr. 2.3.1 dieses Tätigkeitsberichts) haben gezeigt, daß sich über die Anonymisierung und Pseudonymisierung, erforderlichenfalls die informierte Einwilligung des Betroffenen und die praxisgerechte Auslegung der gesetzlichen Bestimmungen in aller Regel Ergebnisse erzielen lassen, die sowohl der Forschung, wie auch dem Datenschutz gerecht werden. Beispiele schildere ich nachstehend in meinem Bericht.

    Das schließt nicht aus, daß noch Regelungsbedarf besteht. So habe ich in meinem Referat bei dem 7. Wiesbadener Datenschutzforum (vgl. Nr. 2.3.2 dieses Tätigkeitsberichts) zum Thema Datenschutz und Forschungsfreiheit in Frage gestellt, ob die übliche Formulierung in den Forschungsklauseln der Landesdatenschutzgesetze, wonach für die Übermittlung personenbezogener Daten zu Forschungszwecken das Forschungsinteresse das Recht auf informationelle Selbstbestimmung erheblich überwiegen müsse, mit dem Grundrecht der Forschungsfreiheit vereinbar sei. Ich habe zu überlegen gegeben, ob nicht im Hinblick auf die Grundrechtskonkurrenz ein einfaches Überwiegen des Forschungsinteresses im konkreten Fall genügen müsse. Es hat mich sehr gefreut, daß der Hessische Landesgesetzgeber meinen Hinweis bei der Novellierung des Hessischen Datenschutzgesetzes aufgegriffen und das Wort "erheblich" gestrichen hat.
  7. Die für die Approbation von Psychologen zu Psychotherapeuten (vgl. Nr. 3.2 dieses Tätigkeitsberichts) nach dem neuen Psychotherapeutengesetz vorzulegenden Tätigkeitsnachweise sollten ursprünglich nicht anonymisiert werden. Das hätte die Vorlage von höchst sensiblen medizinischen Informationen völlig unbeteiligter Dritter an die Genehmigungsbehörden bedeutet. Hier konnte ich durch entsprechende Hinweise des Arbeitskreises Gesundheit und Soziales der Datenschutzkonferenz erreichen, daß das Arbeits- und Sozialministerium inzwischen die regelmäßig anonymisierte Vorlage der Tätigkeitsnachweise vorsieht.
  8. Besonderes Gewicht habe ich auch der Frage der datenschutzgerechten Gestaltung von Klinikinformationssystemen (vgl. Nr. 3.3.2 u. 3.3.3 dieses Tätigkeitsberichts) beigemessen. Inzwischen werden in diesen Systemen nicht mehr nur Verwaltungsdaten, sondern auch medizinische Daten verarbeitet. Zur Wahrung des informationellen Selbstbestimmungsrechts des Patienten, aber auch des Arztgeheimnisses ist es notwendig, daß die Zugriffsrechte auf die Patientendaten nur entsprechend den Behandlungserfordernissen eingeräumt und begrenzt werden. Ich gehe dieser Frage gerade bei einer noch nicht abgeschlossenen Prüfung eines Münchner Krankenhauses nach, in dem ein System differenzierter Zugriffsberechtigungen eingerichtet wird. Ich werde diese Frage auch in anderen Krankenhäusern aufgreifen.
  9. Im Bereich Kommunen, Einwohnermeldewesen waren u.a. Fragen des Inhalts und der Auswertung von Eintragungslisten für Volks- und Bürgerbegehren, der unbefugten Übermittlung von Informationen aus nichtöffentlichen Sitzungen und Unterlagen an die Presse, der Herausgabe von Adressenlisten für kommunalfremde Zwecke, der Weitergabe von Meldedaten an Adreßbuchverlage und Parteien sowie der Videoüberwachung relvant.
  10. Zum Inhalt der Eintragungslisten für Volks- und Bürgerbegehren (vgl. Nr. 8.3 u. 8.4.1 dieses Tätigkeitsberichts) habe ich u.a. vorgeschlagen, auf das Geburtsdatum zu verzichten, da es m.E. für den Identitätsnachweis i.d.R. überflüssig ist. Unzulässige Auswertungen und Einsichtnahmen in Eintragungslisten für Bürgerbegehren mußte ich rügen (vgl. Nr. 8.4.2 dieses Tätigkeitsberichts).
  11. Mehrfach mußte ich in einem Fallkomplex die unbefugte Erhebung und Weitergabe von Informationen aus nichtöffentlichen Schriftstücken beanstanden (vgl. Nr. 8.10 u. 8.11 dieses Tätigkeitsberichts). Der Fall ist besonders bemerkenswert, da die betroffene Kommune alles unternimmt, um die Informationsweitergabe abzustellen und ich mich gleichwohl inzwischen mit der vierten Beschwerde in der Angelegenheit befassen muß. Hier bleibt letztlich nur noch der Ruf nach dem Staatsanwalt.
  12. Die Herausgabe von Meldedaten an Parteien und Adreßbuchverlage war mehrfach Gegenstand von Bürgerbeschwerden (vgl. Nr. 9.1 dieses Tätigkeitsberichts). Ich habe dazu zwar keine Verletzung des geltenden Rechts festgestellt, wegen der offensichtlichen Wirkungslosigkeit des gegenwärtigen Widerspruchsverfahrens - wohl auch auf Grund mangelhafter Information der Bürger - habe ich mich in der letzten Datenschutzkonferenz aber in einer Entschließung dafür eingesetzt, daß die derzeitige Widerspruchslösung durch eine Einwilligungslösung ersetzt wird.
  13. Immer wieder zu Anfragen führt auch die Videoüberwachung von öffentlichen Plätzen zur Abwehr und Verfolgung von Ordnungswidrigkeiten und Straftaten (vgl Nr. 18.1 dieses Tätigkeitsberichts). Ich habe für die Videoüberwachung kommunaler Wertstoffhöfe und von Containerstandorten auf der Grundlage des Bayer. Datenschutzgesetzes festgestellt, daß dagegen keine Bedenken bestehen, wenn auf die Überwachung hingewiesen und eine Auswertung nur vorgenommen wird, wenn unerlaubte Ablagerungen festgestellt werden. Gleichwohl halte ich den Komplex Videoüberwachung für regelungsbedürftig, wie ich eingangs ausgeführt habe.
  14. Im Bereich "Technik und Organisation" wurden zahlreiche Beratungen und Prüfungen durchgeführt. Gerade in diesem Bereich ist die frühzeitige Beratung über technische und organisatorische Sicherungsmaßnahmen besonders wichtig und wird von unseren Kunden auch gerne in Anspruch genommen. Dabei geht es nicht nur um Einzelfragen, sondern besonders um technische Grundsatzfragen, wobei ich auszugsweise auf folgende Punkte hinweisen möchte:
  15. Datenschutzfreundliche Technologien (vgl. Nr. 19.1.3 dieses Tätigkeitsberichts), durch die den Grundsätzen der Datensparsamkeit und womöglich der Datenvermeidung Rechnung getragen werden kann,
  16. Einsatz kryptographischer Verfahren (vgl. Nr. 19.1.4 dieses Tätigkeitsberichts) zur Sicherstellung von Vertraulichkeit, Integrität und Authentizität - besonders wichtig wegen der systembedingten Unsicherheiten - wobei ich wegen der mangelnden Effektivität und der Sicherheitsprobleme Schlüsselhinterlegungs- und Wiedergewinnungsverfahren ablehne- und die
  17. Sicherheitsaspekte bei der Nutzung des Internets (vgl. Nr. 19.1.5 dieses Tätigkeitsberichts), die einerseits umfangreiche Datenspuren im Netz erzeugt, und die andererseits die Gefahr von Angriffen aus dem Netz auf den eigenen Rechner und die übertragenen Daten mit sich bringt, und denen unter den Stichworten Systemdatenschutz, Selbstdatenschutz und technischer Datenschutz Rechnung getragen werden kann und muß.

Zu vorgenannten Punkten und zu anderen technischen und organisatorischen Fragen sind auf meiner Homepage im Internet unter der Adresse www.datenschutz-bayern.de zahlreiche Hinweise und Handreichungen einseh- und abrufbar.

Die technischen und organisatorischen Prüfungen haben im übrigen ergeben, daß bei allen Sparzwängen sich die meisten kontrollierten Dienststellen, einige in vorbildlicher Weise, bemühen Datenschutz und Datensicherheit zu gewährleisten, was einzelne Mängel nicht ausschließt.


Besonders erwähnen möchte ich das Bayerische Behördennetz (vgl. Nr. 19.3.1 dieses Tätigkeitsberichts), für das umfangreiche technische und organisatorische Sicherheitsmaßnahmen gegen Eindringversuche von außen und gegen Mißbräuche von innen getroffen wurden. Was noch aussteht, ist der flächendeckende Einsatz von Systemen, die eine vertrauliche und nicht manipulierbare Datenübertragung gewährleisten. Hierzu dient das Projekt BASILIKA, das aber noch nicht abgeschlossen werden konnte. Aus diesem Grund ist eine gegen unbefugte Kenntnisnahme und Veränderung gesicherte Datenübermittlung im Bayer. Behördennetz derzeit noch nicht gewährleistet, worauf ich mehrfach hingewiesen habe.

1.3. Stellungnahmen zu Normen und Richtlinien

Ich habe wieder zu zahlreichen Normen und Richtlinien Stellung genommen, wobei meinen Vorschlägen zum Teil Rechnung getragen wurde. Exemplarisch nenne ich:

  • Zum Komplex Zeugenschutzgesetz haben wir Datenschutzbeauftragten in einer Entschließung über die informationelle Selbstbestimmung bei Bild- und Tonaufzeichnungen im Strafverfahren Forderungen zum Schutz von Zeugen, insbesondere kindlichen Opfer-Zeugen aufgestellt. Sie betrafen u.a. ein Verbot der Verfremdung, der justizfremden Verwendung und der Übermittlung an Stellen außerhalb der Justiz. Unsere Forderungen wurden mit dem Verbot der Verwendung für Zwecke außerhalb der Strafverfolgung teilweise berücksichtigt. Wegen der Mißbrauchsgefahren bedauere ich besonders das Fehlen eines Verbots der Vervielfältigung und der Versendung an Stellen außerhalb der Justiz.
  • Zum sog. Großen Lauschangriff habe ich zusammen mit den anderen Datenschutzbeauftragten einen Forderungskatalog aufgestellt, von dem wichtige Forderungen offen blieben, u.a. nach Einschränkung des zu weiten Straftatenkatalogs und der Möglichkeit des Abhörens von Wohnungen Nichtbeschuldigter. Dagegen wurde in letzter Minute, wohl auch auf Grund der Appelle aller Datenschutzbeauftragten, das Abhören von Berufsgeheimnisträgern ausgeschlossen.
  • Zur DNA-Speicherung für polizeiliche Zwecke haben wir Datenschutzbeauftragten bereits mehr als ein Jahr vor den jüngsten gesetzgeberischen Aktivitäten in einer Entschließung festgestellt, daß eine derartige Speicherung unter bestimmten Voraussetzungen aus unserer Sicht möglich ist. Leider wurden diese Vorschläge nicht aufgegriffen. Statt dessen wurde zunächst ohne spezielle Rechtsgrundlage lediglich auf Grund einer Verwaltungsvorschrift eine derartige Datei eingerichtet. Unsere Forderungen nach einem speziellen Gesetz, in dem Speichervoraussetzungen und -dauer geregelt sind, in dem eine enge Zweckbindung (Verwendung ausschließlich zur Verfolgung von Straftaten und zur Abwehr erheblicher Gefahren für die öffentliche Sicherheit) vorgesehen ist und in dem der Richtervorbehalt konsequent durchgeführt ist, sind auch im jetzt in Kraft getretenen DNA-Identitätsfeststellungsgesetz nicht berücksichtigt.
  • Verwaltungsvorschriften zum Justizmitteilungsgesetz: Den Forderungen der Datenschutzbeauftragten nach Einführung der im Justizmitteilungsgesetz entgegen unserer Kritik nicht enthaltenen Richtervorbehalte für Mitteilungen aus Zivil und Strafverfahren an öffentliche Stellen wurde durch Einführung von Richter- und Staatsanwaltsvorbehalten in den Verwaltungsvorschriften z.T. Rechnung getragen.

1.4. Nationale und internationale Konferenzen

Im Jahr 1997 hatte ich den Vorsitz in der Datenschutzkonferenz des Bundes und der Länder. Es fanden zwei Sitzungen statt, die Frühjahrssitzung in München, die Herbstsitzung in Bamberg. Der würdige Rahmen der Sitzungen, u.a. Tagung der Herbstsitzung im Saal des historischen Brückenrathauses von Bamberg, fand bei den Teilnehmern sehr großen Anklang. Ich benutze diese Gelegenheit, mich bei der Staatsregierung für die großzügige Ausrichtung sehr herzlich zu bedanken. Dieser Dank gilt auch der Stadt Bamberg und insbesondere Herrn Oberbürgermeister Lauer für die Bereitstellung des Saales im historischem Brückenrathaus und den herzlichen Empfang.

Die Datenschutzbeauftragten haben Bayern in sehr guter Erinnerung.

In der Sache waren die Sitzungen erfolgreich: Es wurden Entschließungen zu wichtigen aktuellen Fragen gefaßt, u.a. die oben bereits erwähnten Entschließungen zur DNA-Datei für erkennungsdienstliche Zwecke und zur Video-Aufzeichnung im Strafverfahren, darüber hinaus zum erweiterten Schutz von Patientendaten und zur Notwendigkeit datenschutzfreundlicher Technologien;daneben haben wir uns u.a. auch mit Fragen der Computer- und Telemedizin beschäftigt. In den beiden Konferenzen des Jahres 1998 wurden unter dem Vorsitz des hessischen Kollegen Prof. Dr. Hamm u.a. Entschließungen zu Datenschutzproblemen des digitalen Fernsehens und der Geldkarte. Diese und die weiteren Entschließungen sind im Anhang zu diesem Bericht abgedruckt und können von meiner Homepage heruntergeladen werden.

Weiter habe ich 1997 an der Internationalen Datenschutzkonferenz in Brüssel teilgenommen, in der unter anderem Fragen des unterschiedlichen Datenschutzes bei grenzüberschreitenden Datenflüssen, besonders in den Vereinigten Staaten, Datenerhebungen im Polizeibereich, insbesondere Schengen, Datenschutz im Internet und Datenschutz und Pressefreiheit diskutiert wurden. Wegen der globalen Natur der Datenverarbeitung ist der Blick über die Grenzen notwendig.

1.5. Rückblick auf den 17. Tätigkeitsbericht

Zwei Fragen aus meinem letzten Tätigkeitsbericht sollen am Schluß dieser Einführung stehen:

  • Der Bayer. Verfassungsgerichtshof ist in seiner Entscheidung vom 11. November 1997 zu meiner Kontrollkompetenz im Sicherheitsbereich meiner These nicht gefolgt, daß für eine effektive Kontrolle von verdeckten Datenerhebungen eine externe Kontrolle durch den Datenschutzbeauftragten auch bei nur in Akten verarbeiteten Daten ohne Anlaß notwendig ist. Ich hatte das damit begründet, daß solche Erhebungen nicht in allen Fällen von Gerichten angeordnet werden und sie auch vom Betroffenen in der Regel mangels Kenntnis nicht einer Überprüfung zugeführt werden können. Eine externe Kontrolle durch den Landesbeauftragten für den Datenschutz der Datenverarbeitung in Akten würde nach der derzeitigen Gesetzeslage einen Anlaß voraussetzen, der sich mangels Beschwerden (Betroffener hat keine Kenntnis) in der Regel nicht ergeben wird. Eine externe Kontrolle solcher verdeckter Datenerhebungen ist also nur möglich, wenn das Anlaßerfordernis wegfällt.

    Das Gericht hat dies mit dem bisher nicht gehörten Argument abgelehnt, daß - sinngemäß - der Gesetzgeber den Datenschutzbeauftragten als Sicherheitsrisiko ansehen könne, und weiter damit, daß auch verwaltungsinterne Kontrollen ausreichend seien. In einem Kommentar in einer Fachzeitschrift habe ich darauf hingewiesen, daß bei den unbestritten möglichen Dateikontrollen im Sicherheitsbereich derartige Sicherheitsrisiken auch nicht angenommen werden und daß externe Kontrollen gerade in diesem sensiblen Bereich notwendig sind.


    Ich würde es sehr begrüßen, wenn der Gesetzgeber bei der Novellierung des Bayer. Datenschutzgesetzes durch Streichung dieser Beschränkung klarstellen würde, daß er auch hinsichtlich der Kontrolle nur in Akten den Datenschutzbeauftragten nicht als Sicherheitsrisiko ansieht.
  • Für das zentrale staatsanwaltschaftliche Verfahrensregister - STARIS - ist das Staatsministerium der Justiz meiner Forderung gefolgt, für dieses ohne besondere Rechtsgrundlage eingeführte System die Begrenzungen des in der Strafprozeßordnung vorgesehenen bundesweiten, aber noch nicht eingerichteten Systems einzuhalten. Dementsprechend werden die Speicherungen 2 Jahre u.a. nach rechtskräftigen Freisprüchen gelöscht, eine Speicherung von Bußgeldverfahren erfolgt nicht.

    Mit diesem kleinen Rückblick möchte ich den allgemeinen Teil meines 18.Tätigkeitsberichts beschließen und ihn der freundlichen Aufmerksamkeit des Bayer. Landtags, der Bayerischen Staatsregierung, des Bayerischen Senats und aller interessierten Leser empfehlen. Er ist auch als HTML- Dokument wiederum auf meiner Homepage im Internet veröffentlicht.