Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 01.12.2009

Um diese Seite zu drucken, benutzen Sie bitte die "Drucken"-Funktion Ihres Browsers (etwa im Menü Datei->Drucken). Danach dieses Fenster bitte wieder schließen.

2. Ein Überblick: Datenschutz heute

Der Datenschutz befindet sich in einer Umbruchsituation. Der Präsident des Bundesverfassungsgerichts, Prof. Dr. Dres. h.c. Hans-Jürgen Papier, hat diese Umbruchsituation dahingehend charakterisiert, die Privatisierung der Informationstechnologie habe im Zusammenwirken mit der Globalisierung die Zahl potentieller "Big Brother" unübersichtlich werden lassen. Es seien aus datenschutzrechtlicher Sicht eher anarchische Zustände als ein totalitärer Überwachungsstaat zu befürchten (vgl. Papier in Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, 25 Jahre Volkszählungsurteil Datenschutz - Durchstarten in die Zukunft! 2009, S. 15). Ich kann dieser Analyse nur zustimmen und sie dahingehend ergänzen, dass die Verarbeitung personenbezogener Daten durch öffentliche und private Stellen - beispielsweise bei der Videoüberwachung - zunehmend verschränkt wird.

Bezogen auf die Kontrolle des Datenschutzes erweist sich die derzeitige Aufspaltung der Datenschutzaufsicht über den nicht-öffentlichen Bereich und der Datenschutzkontrolle über den öffentlichen Bereich nicht mehr als stimmig. Jenseits von europa- und verfassungsrechtlichen Fragen der Unabhängigkeit der jeweiligen Kontrollbehörde ist es nur schwer verständlich, warum der Bürger sich in der Rechtsmaterie Datenschutz an verschiedene Datenschutzbehörden wenden soll, zumal diese Zuständigkeitsabgrenzung mit einem erheblichen Mehraufwand an Personal bezahlt wird.

Die derzeit bestehende Umbruchsituation im Datenschutz veranlasst mich, in diesem Vorwort hauptsächlich Ausführungen zu seinen Perspektiven zu machen.

2.1. Datenschutz - alter und neuer grundrechtlicher Persönlichkeitsschutz

Wie meine Vorgänger im Amt betone ich, dass Datenschutz Grundrechtsschutz ist (Besonders pointiert hat dies mein Vorvorgänger Reinhard Vetter anlässlich seines ersten Tätigkeitsberichts getan, vgl. 16. Tätigkeitsbericht, 1994, Nr. 1.2). Grundrechte sind im Kern Antworten unseres freiheitlich-demokratischen Rechtsstaats auf tatsächliche Freiheitsbedrohungen für den Einzelnen.

Der Staat gewährt seinen Bürgerinnen und Bürgern bestimmte Freiheitssphären. Im Zusammenhang mit dem Datenschutz tut er dies, weil er einen bestimmten Persönlichkeitsschutz für ein freiheitliches demokratisches Gemeinwesen als schlechthin konstitutiv ansieht. In geringfügiger Abwandlung einer Feststellung im berühmten Volkszählungsurteil des Bundesverfassungsgerichts kann man sagen: Effektiver Datenschutz ist eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens.

Der Staat gewährt diese Rechte bewusst dem Einzelnen - gegen den Staat und durchaus auch gegen gesellschaftliche Interessen. Nach meiner Erfahrung besteht oft kein Verständnis dafür, warum eine staatliche Datenerhebung zum Wohl der Gemeinschaft unzulässig ist, weil "nur" eine einzige Person Einwände gegen sie erhoben hat. Beispielsweise musste der Bundesgerichtshof für Strafsachen (BGH) eine Entscheidung des Landgerichts Kempten aufheben, weil Ermittlungsbehörden mit unfairen Mitteln gegen einen Untersuchungshäftling vorgegangen waren. Das Landgericht hatte es gebilligt, dass die Strafverfolgungsbehörden Gespräche eines Beschuldigten mit seiner Ehefrau im Besuchsraum während der Untersuchungshaft heimlich abhörten. Dabei erweckten die Strafverfolgungsbehörden bei dem Angeklagten gezielt den unrichtigen Eindruck, er könne sich mit seiner Ehefrau ohne die Gefahr der Überwachung über die ihm zur Last gelegten Straftaten unterhalten. Mit überzeugenden Gründen stellte der BGH fest, dass eine solche Vorgehensweise gegen den Grundsatz des fairen Verfahrens verstößt (BGH, U.v. 29.04.2009 - 1 StR 701/08). Die Entscheidung unterstreicht, dass der rechtsstaatliche Grundsatz des fairen Verfahrens eine erhebliche Datenschutzrelevanz hat.

2.1.1. Klassisches Verständnis von Datenschutz

Erfahrungsgemäß wird Datenschutz als grundrechtliche Gewährleistung oft allein mit dem Schutz der Privatsphäre gleichgesetzt, die vor staatlicher Ausforschung bewahrt. Diese Charakterisierung beschreibt einen wichtigen Teil des Datenschutzes. Er ist Gegenstand einer Vielzahl von verfassungsgerichtlichen Entscheidungen vor dem Jahr 1983 gewesen und nach wie vor aktuell. Datenschutz darf aber nicht auf den Schutz der Privatsphäre vor staatlicher Ausforschung reduziert werden.

Nicht übergangen werden darf zunächst das verfassungsrechtlich verbürgte Recht des Einzelnen, im Grundsatz an ihn betreffenden Datenverarbeitungsprozessen gestaltend mitzuwirken. Vor über fünfundzwanzig Jahren hat das Bundesverfassungsgericht in seinem berühmten Volkszählungsurteil vom 15.12.1983 den Begriff der "informationellen Selbstbestimmung" geprägt. Dieses Recht auf informationelle Selbstbestimmung wird aus dem allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1 und Art. 1 Abs. 1 des Grundgesetzes abgeleitet. Es besagt sinngemäß, dass der Einzelne auch im Zeitalter der automatisierten Datenverarbeitung grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen können soll. Beispielsweise ist die Datenverarbeitung möglichst transparent zu gestalten: Daten sind grundsätzlich vorrangig bei den Betroffenen zu beschaffen. Im Regelfall haben die Betroffenen einen Anspruch auf Auskunft über die über sie erfassten Daten. Die Rechte auf Berichtigung, Löschung oder Sperrung gehören ebenfalls zu den Mitwirkungsrechten der Betroffenen.

In neueren Entscheidungen hat das Bundesverfassungsgericht den Begriff des Grundrechts auf informationelle Privatheit geprägt und damit das allgemeine Persönlichkeitsrecht in seiner verfassungsrechtlichen Terminologie an internationale Standards angepasst.

Kann dieses Grundrecht auf Datenschutz einschränkt werden? Sicherlich ist das möglich. Und natürlich ist der Mensch ein kommunikatives Wesen und kann sich nicht generell seiner Einbindung in kommunikative Prozesse der Gesellschaft entziehen. Für eine Einschränkung des Grundrechts auf Datenschutz ist es aber erforderlich, dass die Einschränkung im überwiegenden Allgemeininteresse erfolgt und bestimmte verfassungsrechtliche Anforderungen beachtet werden. Hierzu zählen unter anderem der Bestimmtheitsgrundsatz sowie das Verhältnismäßigkeitsprinzip. Gemäß dem Bestimmtheitsgrundsatz darf eine Verarbeitung personenbezogener Daten nur zu gesetzlich bestimmten Zwecken erfolgen. Er beugt einer allseitigen Überwachung vor, die dadurch entsteht, dass jede öffentliche Stelle alle Daten erhalten und nach Belieben verwenden kann. Dieser Tätigkeitsbericht greift das Erfordernis von gesetzlichen Regelungen insbesondere in Bezug auf die inzwischen erfolgte Neuregelung der Videoüberwachung im Bayerischen Datenschutzgesetz (Nr. 9.2) und hinsichtlich der weiterhin bestehenden gravierenden Regelungsdefizite im Maßregelvollzug (Nrn. 3.6 und 6.1.7) auf.

2.1.2. Neue Freiheitsbedrohungen - neue Datenschutzrechte

Der "traditionelle" Grundrechtsschutz genügt heute nicht mehr für einen effektiven Datenschutz. Er gibt keine befriedigenden Antworten auf die Freiheitsgefährdungen unserer Zeit.

Daher hat das Bundesverfassungsgericht in seiner Entscheidung vom 27.02.2008 zur so genannten Online-Durchsuchung eine erste Konsequenz gezogen und aus dem Recht auf Privatheit das "Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" abgeleitet. Das Gericht hat bei dieser Neuschöpfung deutlich darauf hingewiesen: Gesetzgebung, Verwaltung und Rechtsprechung haben künftig stärker zu berücksichtigen, dass die Nutzung der Informationstechnik für die Persönlichkeit und die Entfaltung des Einzelnen eine früher nicht absehbare Bedeutung erlangt hat. Das neue "IT-Grundrecht"wie das Recht auf Gewährleistung der Vertraulichkeit und Integrität häufig auch genannt wird, schützt zunächst die Vertraulichkeiteines IT-Systems. Das heißt, dass nur berechtigte Personen auf die im System verfügbaren Informationen zugreifen können. Weiterhin soll aber auch die Integrität von IT-Systemen gewährleistet werden.

Nach den Feststellungen des Bundesverfassungsgerichts ist selbst dann ein Eingriff in den Schutzbereich des IT-Grundrechts anzunehmen, wenn zum Beispiel Sicherheitsbehörden ein informationstechnisches System infiltriert haben, ohne dabei schon personenbezogene Daten erhoben zu haben. Die Beeinträchtigung der Integrität eines IT-Systems kann für den betroffenen Nutzer unter Umständen viel weiter reichende Nachteile haben als der Angriff auf die Vertraulichkeit.

Die Entscheidung des Bundesverfassungsgerichts zum IT-Grundrecht ist zwar im Zusammenhang mit der Befugnis zur Online-Durchsuchung, also einer staatlichen Ermittlungsmaßnahme, ergangen. Dieses Grundrecht beinhaltet aber auch einen Schutzauftrag an den Staat und wirkt dadurch in den gesellschaftlichen Raum hinein. Zumindest solange Online-Durchsuchungen technisch aufwändig bleiben, werden diese im Polizeiaufgabengesetz (PAG) und im Bayerischen Verfassungsschutzgesetz (BayVSG) geregelten Maßnahmen lediglich in Einzelfällen zu erwarten sein. Weitaus bedrohlicher als die - zahlenmäßig wohl seltenen - polizeilichen Zugriffe sind die massenweisen Angriffe auf IT-Systeme durch private Angreifer. Sie gehen beispielsweise von "privat" betriebenen Botnetzen aus. Bei Botnetzen werden Computerprogramme (Bots) ohne Wissen der Besitzer auf ihren Computern installiert, welche dann für Zwecke des jeweiligen Angreifers missbraucht werden. Die meisten Bots können vom Angreifer über einen Kommunikationskanal beeinflusst werden und Befehle empfangen. Auf diese Weise fügen Cyberkriminelle Rechner von Privatpersonen in das Botnetz ein und verwenden sie wahlweise für das Versenden von Spam oder für gezielte Angriffe auf Dienste im Netz. Gefährliche Botnetze sind sogar geeignet, die allgemeine IT-Sicherheitslage nachhaltig zu beeinflussen (vgl. z.B. zum Botnetz "Waledac" Bundesamt für Sicherheit in der Informationstechnik, Quartalsbericht 1/2009 zur IT-Sicherheit).

Die technische Entwicklung hat gerade im Bereich der automatisierten Datenverarbeitung in den vergangenen Jahren gewaltige Fortschritte erzielt. Im Wesentlichen kann man von vier Entwicklungslinien sprechen: Informationstechnologie findet heute zumeist vernetzt statt, ihre Verwendung ist ein Massenphänomen, ihre Leistungsfähigkeit ist genauso immens gestiegen, wie sich die Größe bestimmter IT-Systeme verkleinert hat. Stecknadelgroße Kameras sind heute längst ebenso Realität wie der Einsatz von Nanotechnologie in Kliniken oder Handys, die als PC verwendet werden können und selbstverständlich den Zugang ins Internet ermöglichen. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat wiederholt auf die Risiken hingewiesen, die mit dieser technischen Entwicklung einhergehen (z.B. Entschließung vom 04.04.2008, Berliner Erklärung: Herausforderungen für den Datenschutz zu Beginn des 21. Jahrhunderts, Anlage 14 dieses Tätigkeitsberichts).

2.2. Datenschutz trotz informationeller Selbstentblößung?

Ein Blick auf unsere gesellschaftliche Realität zeigt zugleich, dass zahlreiche Internetnutzer wie selbstverständlich Webtagebücher (Blogs) führen, die weltweit lesbar sind. Auf Plattformen wie Facebook oder StudiVZ geben sie persönliche, manchmal intimste Informationen preis, ohne dass sie Kontrolle über die einmal veröffentlichten Informationen haben. Denn der Satz "Das Internet vergisst nichts" gilt auch und insbesondere für soziale Netzwerke: Es ist nahezu unmöglich, die hinterlassenen Datenspuren im weltweiten Netz zu tilgen, was besonders für Beschäftigte gefährlich sein kann.

Die Risiken der Nutzung des Internet liegen auf der Hand: Unrichtige Informationen können oft nicht mehr korrigiert werden und holen die Nutzer später an unerwarteter Stelle wieder ein. Kaum ein Personalchef (auch von öffentlichen Stellen) verzichtet beispielsweise heute darauf, sich vor der Stellenbesetzung im Internet über die aussichtsreichen Bewerber und Bewerberinnen kundig zu machen. Dem setzt das Recht allerdings Grenzen: Auch wenn die Erhebung von im Internet frei zugänglichen personenbezogenen Daten durch eine öffentliche Stelle nicht generell einen Grundrechtseingriff darstellt, dürfen Daten nicht weiterverarbeitet werden, wenn die mit der Datenverarbeitung verfolgten Zwecke nicht im Einklang mit den datenschutzrechtlichen Rahmenbedingungen stehen. Jeder Betroffene würde informationell zum Freiwild, wenn man frei zugängliche Daten als frei verfügbar ansehen würde.

Es wäre eine zu einfache "Lösung", im Zusammenhang mit der Nutzung der neuen Möglichkeiten des Internet allein auf die Mündigkeit der Nutzer zu verweisen. Der Schutzauftrag des Grundrechts auf Privatheit erfordert eine Reaktion des Staates, wenn seine Bürgerinnen und Bürger vermeintlich selbstbestimmt informationelle Rechte aufgeben, tatsächlich aber oft gar nicht die Folgewirkungen ihres Verhaltens abschätzen können.

Deshalb halte ich jede Initiative der Staatsregierung zur Stärkung der Medienkompetenz vor allem junger Menschen für notwendig, insbesondere wenn und soweit sie auch den Selbstdatenschutz fördert.

2.3. Förderung von Selbstdatenschutz und Datenschutzkompetenz

Ich möchte die praktischen Schwierigkeiten des Selbstdatenschutzes anhand des Beispiels der vertraulichen E-Mail-Kommunikation ansprechen. Der Inhalt unverschlüsselter E-Mails kann mit einem gewissen technischen Aufwand leicht Beute unbefugter Personen werden. Dies bestätigen Stellen des Bundes und des Freistaates Bayern, die deshalb die Verschlüsselung von E-Mails empfehlen (z.B. Bundesamt für Sicherheit in der Informationstechnik, vgl. www.bsi.de (externer Link), mit kostenlosen Downloads, nützliche Informationen sind auch auf meiner Website www.datenschutz-bayern.de unter der Rubrik Technik zu finden). Der prozentuale Anteil der E-Mail-Nutzer, die dieser Empfehlung folgen, ist verschwindend gering.

Eine Ursache hierfür ist sicher, dass es nur wenige bekannte Stellen gibt, die bei ihrer Kommunikation mit den Bürgerinnen und Bürgern die Verschlüsselung von E-Mails anbieten. Ähnlich wie das Anlegen des Sicherheitsgurts im PKW nur allmählich selbstverständlich geworden ist, ist auch die Akzeptanz von technik-gestütztem Selbstdatenschutz (wie Verschlüsselungstechnologie) schlichtweg eine Sache der Übung. Deshalb kann ich die Forderung der Datenschutzbeauftragten des Bundes und der Länder anlässlich ihrer 77. Konferenz vom 26./27.03.2009 nur unterstreichen, den Einsatz datenschutzfreundlicher Technik voranzutreiben und rechtlich verpflichtend vorzuschreiben. Ich würde mir wünschen, dass der Freistaat Bayern in diesem Sinne eine Vorreiterrolle übernimmt.

2.4. Zeitgerechte Datenschutzkontrolle im öffentlichen Bereich

Wie das Volkszählungsurteil des Bundesverfassungsgerichts verdeutlicht, ist die automatisierte Verwendung personenbezogener Daten für den Bürger oft undurchsichtig. Die Verwendung personenbezogener Daten begründet deshalb ein grundrechtlich geschütztes Interesse an einem vorgezogenen Rechtsschutz. Die Beteiligung unabhängiger Datenschutzbeauftragter ist insoweit von erheblicher Bedeutung für einen effektiven Schutz des Rechts auf informationelle Selbstbestimmung. Mit diesen Feststellungen hat das Bundesverfassungsgericht die unabhängige Kontrolle von Datenschutzbeauftragten verfassungsrechtlich abgesichert. Die Verfassung des Freistaates Bayern legt hierzu in Art. 33 a Abs. 2 fest, dass der Landesbeauftragte für den Datenschutz nach Maßgabe des Gesetzes bei den öffentlichen Stellen die Einhaltung der Vorschriften über den Datenschutz kontrolliert. Er ist in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen. Der Bürger muss sich auch im Hinblick auf die Organisation und des Status des Landesbeauftragten für den Datenschutz darauf verlassen können, dass dieser in der Lage ist, seinem Anliegen ernsthaft nachzugehen und die Sach- und Rechtslage objektiv zu prüfen.

Selbstverständlich sehe ich es deshalb als wesentliche Aufgabe an, Eingaben schwerpunktmäßig und vorrangig zu bearbeiten. Allerdings muss eine zeitgerechte Datenschutzkontrolle auch berücksichtigen, dass ein vorgezogener Rechtsschutz aufgrund tatsächlicher Gegebenheiten leerlaufen kann. So sehen Sicherheitsbehörden oft aus verschiedenen Gründen davon ab, Betroffene über verdeckte Ermittlungsmaßnahmen zu informieren. Auch können Betroffene aus Sorge vor ihrer Bloßstellung darauf verzichten, von ihrem Eingaberecht Gebrauch zu machen. Wichtig ist daher ein präventiv wirkender Datenschutz, der unabhängig von konkreten Persönlichkeitsverletzungen einsetzt. Anlassfreie Prüfungen gehören zum unverzichtbaren Instrumentarium der Datenschutzkontrolle, das ich auch künftig anzuwenden gedenke.

2.5. Beteiligung an Gesetzgebungsverfahren

Auch im Sinne eines präventiv wirkenden Datenschutzes hat meine Dienststelle im Berichtszeitraum teilweise bis an die Grenzen ihrer personellen Belastbarkeit mit unterschiedlichem Erfolg an zahlreichen Gesetzesvorhaben beratend mitgewirkt bzw. auf die Notwendigkeit gesetzgeberischer Tätigkeit hingewiesen. Ich verweise insoweit auf die einschlägigen Beiträge dieses Berichts (Nrn. 4.1, 4.2, 4.9, 4.14, 5.1, 6.1.6, 6.1.7, 6.1.8, 6.1.9, 9.2, 10.1, 12.1, 12.2, 14.1, 14.4, 16, 17.9, 21.1, 22.2, 23.1, 23.3, 24.2).

Insbesondere auch bayerische Sicherheitsgesetze sind in den vergangenen Jahren Gegenstand von Verfassungsbeschwerdeverfahren geworden, die für die Beschwerdeführer zumindest Teilerfolge erbracht haben. Damit möchte ich noch einmal auf das Engagement meiner Mitarbeiter hinweisen, die mit zahlreichen Stellungnahmen dem Bundesverfassungsgericht zugearbeitet haben. Dabei entsprachen diese Stellungnahmen meines Hauses im Wesentlichen den späteren verfassungsgerichtlichen Feststellungen. Hervorzuheben sind die Stellungnahmen zum Versammlungsgesetz und zum Erfordernis einer Regelung zur Videoüberwachung im Bayerischen Datenschutzgesetz.

Im Hinblick auf die Videoüberwachung sind die Feststellungen des Bundesverfassungsgerichts zur Verfassungsrechtslage inhaltlich nahezu deckungsgleich mit den Hinweisen meiner Dienststelle (vgl. dazu Nrn. 3.9 und 9.1). Hinsichtlich des Versammlungsgesetzes ist bislang zwar erst eine einstweilige Anordnung ergangen, die aber ebenfalls die gleichen Bedenken aufgegriffen hat, auf die meine Dienststelle bereits hingewiesen hatte (vgl. Nrn. 3.3 und 4.2).

Ungeachtet dessen ist es wünschenswert, dass den Stellungnahmen und Hinweisen jedoch auch dann ein angemessenes Gewicht beigemessen wird, wenn sie nicht das verfassungsrechtliche Mindestmaß, sondern auch Empfehlungen für datenschutzfreundliche Regelungen enthalten. Erfreulicherweise werden bereits im Rahmen der Ressortabstimmung solche Anregungen immer wieder aufgegriffen.

2.6. Öffentlichkeitsarbeit

In der Durchführung von Prüfungen und der beratenden Begleitung von Gesetzgebungsverfahren darf sich eine zeitgemäße Datenschutzkontrolle nicht erschöpfen. Ein weiteres wesentliches Instrument ist die Öffentlichkeitsarbeit. "Allgemeine Öffentlichkeitsarbeit" ist bereits Aufgabe aller öffentlichen Stellen. Sie erwächst aus dem letztlich im Demokratiegrundsatz fußenden Prinzip der Transparenz und Publizität des staatlichen Handelns (vgl. Niese in Wilde et al., Kommentar zum BayDSG, Art. 19 BayDSG, Rdnr. 10). Diese Überlegung findet sich auch in der Allgemeinen Geschäftsordnung der Staatsregierung für die Behörden des Freistaates Bayern. Meine Öffentlichkeitsarbeit dient insoweit dazu, die Bürgerinnen und Bürger zum Selbstdatenschutz zu bewegen. Zugleich trägt sie zu einer lebendigen Datenschutzkultur bei, die unverzichtbare Voraussetzung für einen effektiven Datenschutz ist.

2.7. Transparenz hoheitlicher Datenverarbeitung und Datenschutz

Im vergangenen Sommer verursachte die europarechtliche Verpflichtung zur Veröffentlichung der Empfänger von EU-Agrarsubventionen eine erhebliche Unruhe. Als Rechtsgrundlage für die Veröffentlichung erging ein Bundesgesetz "zur Veröffentlichung von Informationen über die Zahlung von Mitteln aus den Europäischen Fonds für Landwirtschaft und Fischerei (AFIG)". Gleichwohl bewerteten obergerichtliche Entscheidungen die datenschutzrechtliche Zulässigkeit der Veröffentlichung sehr unterschiedlich. Vor diesem Hintergrund vertrat die Bayerische Staatsregierung zunächst die Auffassung, eine Veröffentlichung der Subventionsempfänger sei datenschutzrechtswidrig. Nunmehr veröffentlicht Bayern neben den vom AFIG geforderten Daten auch den jeweiligen Zweck der EU-Subvention. Nach meinem Eindruck wird erst dadurch ein sinnvoller und nachvollziehbarer Informationsertrag erzielt (vgl. dazu Beitrag "Presseecho" vom 10.08.2009 auf www.datenschutz-bayern.de).

Zugleich verdeutlicht der Vorfall, dass das Verhältnis zwischen der Transparenz staatlicher Datenverarbeitung und dem Datenschutz komplex ist und erhebliche Unsicherheiten erzeugt. Der Präsident des Bundesverfassungsgerichts, Herr Prof. Dr. Dres. h.c. Hans-Jürgen Papier, hat mit überzeugenden Erwägungen auf den engen Zusammenhang zwischen dem Regelungskonzept einer informierten Öffentlichkeit und dem Datenschutz hingewiesen. Zugleich hat er auf die erforderliche Abgrenzung zwischen dem Informationszugangsrecht und dem Schutz personenbezogener Daten aufmerksam gemacht (vgl. Papier in Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, 25 Jahre Volkszählungsurteil Datenschutz - Durchstarten in die Zukunft! 2009, S. 19 f.).

Ein wesentlicher Gesichtspunkt zu einer solchen Abgrenzung wäre der Grundsatz der Verhältnismäßigkeit. Im Fall der Empfänger von EU-Agrarsubventionen war etwa zu berücksichtigen, dass sie im Internet weltweit veröffentlicht werden. Der Grundgedanke der EU-Vorgaben, die Vergabe von EU-Subventionen für die Allgemeinheit nachvollziehbar zu machen, hätte auch realisiert werden können, wenn man nur Empfänger von erheblichen Summen personenbezogen benannt und die Empfänger von geringfügigen Beträgen zu Gruppen gebündelt hätte.

Die Frage der Transparenz von EU-Agrarsubventionen ist bereichsspezifisch gesetzlich geregelt. Um vergleichbare Fragestellungen allgemein zu erfassen, haben sich - neben dem Bund - bereits elf Bundesländer dazu entschlossen, Informationsfreiheitsgesetze zu erlassen. Dabei nehmen bislang der Bundesbeauftragte für den Datenschutz sowie neun Landesbeauftragte für den Datenschutz jeweils die Funktion des Beauftragten für Informationsfreiheit wahr. Das hat Vorteile, weil die Fragen nach den Grenzen des Zugangs zu staatlich erfassten personenbezogenen Informationen maßgeblich durch den Datenschutz bestimmt sind. Informationsfreiheitsgesetze, die keinen Informationsbeauftragten vorsehen, existieren (nur) in zwei Bundesländern. In der EU nehmen die Datenschutzinstitutionen zahlreicher Mitgliedstaaten - z.B. in Frankreich oder in Ungarn - vergleichbar dem Bundesbeauftragten für Datenschutz und Informationsfreiheit die Funktion des Beauftragten für Informationsfreiheit wahr.

Dieser Trend, legitimen Informationsbedarf der Öffentlichkeit durch Informationsfreiheitsgesetze zu regeln, wird durch Initiativen wie die unseres Ministerpräsidenten zu seiner Zeit als Bundesminister für Ernährung, Landwirtschaft und Verbraucherschutz zur Schaffung eines Verbraucherinformationsgesetzes oder seiner Nachfolgerin zur Kennzeichnung von gentechnikfreien Lebensmitteln verstärkt.

Ein Bayerisches Informationsfreiheitsgesetz würde insoweit also für deutlich mehr Rechtssicherheit sorgen. Die hiergegen immer wieder vorgebrachten Bedenken - insbesondere die Beeinträchtigung der Funktionstüchtigkeit der Bayerischen Verwaltung - sind zwar ernst zu nehmen. Letztlich werden diese Befürchtungen durch die Erfahrungen anderer Bundesländer mit Informationsfreiheitsgesetzen jedoch nicht bestätigt.

2.8. Schlussbemerkungen

Die Bayerische Staatsregierung hat in ihrer Regierungserklärung am 10.12.2008 mit deutlichen Worten den politischen Stellenwert des Datenschutzes in den kommenden Jahren hervorgehoben. Hieran knüpfe ich an. Der Tätigkeitsbericht selbst weist nachfolgend auf positive und negative Entwicklungen hin. Zugleich zeigt er, dass der Datenschutz als Recht auf Privatheit eine der wichtigsten Herausforderungen unserer Zeit ist.

Im Übrigen weise ich darauf hin, dass im nachfolgenden Tätigkeitsbericht durchgängig die zum Redaktionsschluss gültigen Ressortbezeichnungen verwendet werden.