Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 01.02.2011

Um diese Seite zu drucken, benutzen Sie bitte die "Drucken"-Funktion Ihres Browsers (etwa im Menü Datei->Drucken). Danach dieses Fenster bitte wieder schließen.

1. Überblick

1.1. Das Internet lädt zu Verhaltensweisen ein, die der Rechtsstaat seit Jahrhunderten versucht zurückzudrängen

Ein im Internet veröffentlichtes Video zeigt eine junge Frau, die vor laufender Kamera junge Hundewelpen in einem Fluss ertränkt. Ein Teil der Internetgemeinde macht innerhalb kürzester Zeit "die Schuldige" ausfindig. Die Folge: Eine junge Frau aus Oberbayern erhält telefonische Beschimpfungen bis hin zu Drohanrufen. Der Schönheitsfehler dabei: Als Täterin wird die Falsche identifiziert. Gleichwohl ist nicht nur ihr Ruf geschädigt, sie ist sogar auf Polizeischutz rund um die Uhr angewiesen. Dieses in der Presse jüngst berichtete Beispiel verdeutlicht: Wer Forderungen aufstellt, Straftäter in öffentlichen Medien wie dem Internet bekannt zu machen, muss sich redlicherweise stets auch die Fragen nach dem Missbrauch der verbreiteten Informationen und nach der Möglichkeit des Irrtums gefallen lassen. Das Internet als Pranger - mittelalterliche Methoden mithilfe modernster Technologie.

Ohne Zweifel bietet das Internet viele Informationen und viele Möglichkeiten der Kommunikation. Seine zahlreichen Verknüpfungsmöglichkeiten und die Vielzahl seiner Nutzer bieten viele Chancen, können aber auch dazu führen, dass für den Einzelnen erhebliche Risiken und Gefahren für seine Persönlichkeitsrechte entstehen.

Dieser Befund gilt auch für die öffentliche Hand. Glücklicherweise haben meine Prüfungen der bayerischen öffentlichen Stellen im Berichtszeitraum keine so dramatischen Erfahrungen wie den eingangs geschilderten Fall zutage gebracht. Allerdings nutzen auch öffentliche Stellen das Internet nicht mehr nur zur Gestaltung von eigenen Webseiten. Im Berichtszeitraum beispielsweise tauschten sich Mitarbeiter von JobCentern im Rahmen eines bekannten sozialen Netzwerkes über Empfänger von Sozialleistungen aus - mit zumindest personenbeziehbaren Daten (siehe hierzu Nr. 8.19). Um Kostendämpfung bemüht, ziehen immer mehr Kommunen das "Cloud Computing" ernsthaft in Betracht ohne zu berücksichtigen, dass eine solche Vergabe von Datenverarbeitung an Dienstleistungsanbieter im Internet datenschutzrechtlich problematisch ist (siehe hierzu Nr. 2.1.5). Bei einer Prüfung der Webseiten der bayerischen öffentlichen Verwaltungen musste ich feststellen, dass über zweihundert Stellen das Webanalysetool "Google Analytics" einsetzten. Mit dieser Software kann man das Nutzerverhalten von Webseitenbesuchern erforschen. Zugleich könnten die erfassten Daten an das Unternehmen Google übermittelt werden. Dies geschah teilweise ohne eine Unterrichtung der Betroffenen, geschweige denn mit ihrer Einwilligung (siehe hierzu Nr. 2.1.6). Schulen nutzen web2.0-Anwendungen als automatisierte Lernplattformen; hier hat das zuständige Ministerium auf meine Anregung hin datenschutzrechtlich angemessene Vorgaben entwickelt (siehe hierzu Nr. 10.3.3).

Die vorangegangenen Beispiele zeigen: Die öffentlichen Stellen haben das Internet und seine Möglichkeiten entdeckt. Sind sie sich aber auch in jedem Fall der Risiken für das Persönlichkeitsrecht bewusst? Es ist datenschutzrechtlich geboten, dass die Verwaltung nicht nur auf die vorhandene Schweigepflicht ihrer Beschäftigten setzt, sondern sich selbst und ihren Beschäftigten Leitlinien für den Umgang mit dem Internet, insbesondere mit dem "web2.0" gibt. Bei Bedarf stehe ich für Beratungen zur Verfügung.

1.2. Reformen im Datenschutzrecht - Reformbedarf im Freistaat Bayern

Das Bayerische Datenschutzgesetz ist ein gutes, klar strukturiertes Gesetz, das sich in vielfacher Hinsicht bewährt hat. Es ist allerdings nicht zu übersehen, dass es mittlerweile "in die Jahre" gekommen ist; die wesentlichen Teile des Gesetzes stammen aus dem Jahr 1993. Kann dieses Gesetz noch sachgerechte Antworten auf die Entwicklungen des Internet, insbesondere auf das web2.0 geben? Die Ankunft des "web3.0", des "Internet der Dinge" steht bereits konkret bevor. Es kündigt sich bereits mit Projekten wie der detailgenauen Stromerfassung in Privatwohnungen an ("smart metering", "smart grid", siehe hierzu Nr. 2.3.3). Das Bayerische Datenschutzgesetz muss internetfähig gemacht werden.

Bereits im Zusammenhang mit dem in der Vergangenheit beschriebenen Projekt TIZIAN habe ich auch auf die Entwicklung zu mehr Verbunddateien hingewiesen. Insoweit ist mittlerweile ein dringender Regelungsbedarf gegeben, nicht um die speichernden Stellen zu mehr Datenverbünden einzuladen, sondern um für sie sachgerechte Rahmenbedingungen zu schaffen und Grenzen zu setzen (siehe hierzu 23. Tätigkeitsbericht, Nr. 14.1). Mittlerweile liegen konkrete Überlegungen zu einer sachgerechten Regelung vor; sie sollten möglichst zeitnah in ein parlamentarisches Gesetzgebungsverfahren überführt werden.

Es würde den Rahmen dieser Übersicht sprengen, alle wesentlichen Reformen auf Europäischer Ebene, auf Bundes- und Landesebene darzustellen, die Auswirkungen auf das Datenschutzrecht in Bayern haben können. Insoweit sei auch auf die Einzeldarstellungen in den nachfolgenden Kapiteln verwiesen.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat unter meiner Beteiligung ein Eckpunktepapier zur Modernisierung des Datenschutzrechts veröffentlicht. Die dort angestellten Überlegungen sind grundsätzlicher Natur und deshalb auch für den Freistaat Bayern von Bedeutung. Nach meiner Einschätzung ist angesichts der angedeuteten technischen Entwicklung vor Allem die Fortentwicklung des technischen und organisatorischen Datenschutzes geboten. Insoweit schlägt die Konferenz vor, die bisher im § 9 BDSG (in Bayern: Art. 7 BayDSG) beschriebenen Maßnahmen durch die Definition technologieunabhängiger Schutzziele zu ersetzen. Das Eckpunktepapier ist unter dem Titel "Ein modernes Datenschutzrecht für das 21. Jahrhundert" auf meinen Webseiten veröffentlicht.

1.2.1. Das Grundrecht auf Datenschutz

Im Berichtszeitraum sind zahlreiche Bemühungen zur Reform des Datenschutzrechts auf europäischer und nationaler Ebene im Gange gewesen, die Auswirkungen auf die Gesetzeslage in Bayern haben können.

Am 01.12.2009 ist der Vertrag von Lissabon in Kraft getreten, der mit erheblichen Veränderungen für die EU verbunden ist. Das Bundesverfassungsgericht hat ihn für verfassungsgemäß erklärt. Aus datenschutzrechtlicher Sicht ist hervorzuheben, dass mit der neuen Ordnung des Vertrags auch die Charta der Grundrechte der Europäischen Union ( ECGR ) rechtsverbindlich geworden ist. Sie verbrieft in Art. 7 und in Art. 8 ein Europäisches Grundrecht auf Datenschutz:

Art. 7 ECGR

Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation.

Art. 8 ECGR

(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.

(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

Der Vertrag von Lissabon sieht weiterhin vor, dass die EU der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK) beitritt. Die Verbindlichkeit der Grundrechtecharta und der bevorstehende Beitritt zur EMRK bedeuten eine wichtige Stärkung des Grundrechtsschutzes in der Europäischen Union. Die grundrechtlichen Gewährleistungen aus Art. 7 und Art. 8 ECGR stehen allen Menschen zu, die sich im Gebiet der Europäischen Union aufhalten.

1.2.2. Überlegungen zur Fortentwicklung der Europäischen Datenschutzrichtlinie

Im Übrigen sind es unter anderem zwei EG-Richtlinien, die den Datenschutz auf nationaler Ebene prägen: Seit 1995 existiert bereits eine allgemeine Datenschutzrichtlinie (Richtlinie 95/46/EG). Sie verfolgte und verfolgt zwei Ziele: Einerseits soll die Richtlinie das Grundrecht auf Datenschutz auch im Europäischen Binnenmarkt zur Geltung bringen, andererseits soll zugleich der freie Verkehr von Daten gewährleistet werden. Diese Richtlinie wurde im Jahr 2002 durch besondere datenschutzrechtliche Vorschriften für die elektronische Kommunikation (Richtlinie 2002/58/EG) ergänzt. Diese Richtlinie ist durch verschiedene Richtlinien weiter entwickelt worden, unter anderem durch die nicht nur in Deutschland umstrittene Richtlinie zur Vorratsspeicherung von Telekommunikationsverkehrsdaten (Richtlinie 2006/24/EG).

Nach Einschätzung der Europäischen Kommission hat sich die allgemeine Datenschutzrichtlinie 95/46/EG bewährt, bedarf aber angesichts der neuen Herausforderungen einer Fortentwicklung. Die Europäische Kommission hat deshalb im Jahr 2009 eine öffentliche Anhörung zu den neuen Herausforderungen für den Datenschutz durchgeführt. Bis zum Ende des Jahres 2010 beabsichtigt die Kommission einen Umsetzungsbericht sowie ein Papier zu veröffentlichen, das die Ergebnisse der Anhörung in Form von Fragen zusammenfasst. Im Frühjahr 2011 sollen dann Antworten und neue Regelungsvorschläge auf diese Fragen folgen. Wer den Normfindungsprozess auf EU-Ebene kennt, weiß: Der Freistaat Bayern hat insoweit noch einige Jahre Zeit, bis neue Vorgaben der novellierten Datenschutzrichtlinie zu einem gesetzgeberischen Handeln zwingen. Ob es klug ist, solange zu warten, ist eine andere Frage.

1.2.3. Stockholmer Programm

Unter schwedischer Ratspräsidentschaft wurde das so genannte "Stockholmer Programm" verabschiedet, das die politischen Ziele für den Zeitraum 2010 - 2015 für einen "Raum der Freiheit, der Sicherheit und des Rechts im Dienste der Bürger" umfasst. Positiv zu bewerten ist zwar, dass das Programm den Schutz der Freiheitsrechte der Bürgerinnen und Bürger zur Priorität erhebt. Aus datenschutzrechtlicher Sicht ist jedoch zu befürchten, dass diese Zielsetzung lediglich einen Programmsatz ohne praktische Schutzwirkung für das Datenschutzrecht darstellt. Die konkreten Regelungen sehen neue zentrale EU-Datenbanken (etwa für Ein- und Ausreisen in die oder aus der EU) mit weitreichenden Eingriffen auch in die Persönlichkeitsrechte der EU-Bürgerinnen und -Bürger vor. Deshalb habe ich die Forderung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder nachhaltig unterstützt, in Europa ein ausgewogenes Verhältnis zwischen Freiheit und Sicherheit insbesondere im Bereich der polizeilichen und justiziellen Zusammenarbeit herzustellen.

Entschließung

78. Konferenz der Datenschutzbeauftragten

des Bundes und der Länder

am 08./09.10.2009 in Berlin

Datenschutzdefizite in Europa auch nach Stockholmer Programm

Die Europäische Union will im Stockholmer Programm ihre politischen Zielvorgaben zur Entwicklung eines Raums der Freiheit, der Sicherheit und des Rechts für die kommenden fünf Jahre festschreiben. Dazu hat die Kommission der Europäischen Gemeinschaften einen Entwurf vorgelegt.

Zwar erwähnt der Kommissionsentwurf die Wahrung der persönlichen Freiheitsrechte und des Schutzes der Privatsphäre als Prioritäten der Innen- und Sicherheitspolitik in einem "Europa der Bürger". Schritte wie der geplante Beitritt der Europäischen Union zur Europäischen Menschenrechtskonvention, Aufklärungs- und Informationskampagnen zum Datenschutz und die Förderung und ggf. Zertifizierung von datenschutzfreundlichen Technologien weisen auch in diese Richtung.

Allerdings bleiben die konkreten Überlegungen für einen verbesserten Datenschutz deutlich hinter den Zielsetzungen für eine verbesserte Sicherheitsarchitektur zurück. Hierzu enthält der Kommissionsentwurf einen umfangreichen Katalog von zum Teil äußerst eingriffsintensiven Maßnahmen, wie z.B. ein elektronisches Registrier- sowie Vorabgenehmigungssystem für Ein- und Ausreisen in oder aus der EU oder den Aufbau eines europäischen Strafregisterinformationssystems. Die ebenfalls angestrebte einheitliche Plattform der Informationsverarbeitung mit beinahe beliebigen Datenverarbeitungsmöglichkeiten gefährdet ohne angemessene Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit die Bürgerrechte.

Nach Auffassung der Datenschutzbeauftragten des Bundes und der Länder bedarf es weiterer Schritte, um in Europa ein ausgewogenes Verhältnis von Sicherheit und Freiheit zu erreichen. Hierzu zählen insbesondere:

  • Die Weiterentwicklung des Rahmenbeschlusses 2008/977/JI zu einem harmonisierten und auch für die innerstaatliche Datenverarbeitung verbindlichen Datenschutzrecht, das im Bereich der polizeilichen und justiziellen Zusammenarbeit ein hohes Datenschutzniveau gewährleistet.
  • Abschluss von Übereinkommen mit Drittstaaten nur unter der Voraussetzung, dass die zwingenden Datenschutzgrundsätze dort beachtet werden.
  • Ein unabhängiges datenschutzrechtliches Beratungs- und Kontrollorgan für alle Bereiche der polizeilichen und justiziellen Zusammenarbeit der EU-Mitgliedstaaten.
  • Die Evaluation der vielen auf EU-Ebene beschlossenen sicherheitspolitischen Vorhaben im Hinblick auf ihre Effektivität, den Umfang der mit ihnen verbundenen Grundrechtseingriffe sowie mögliche Überschneidungen der Maßnahmen untereinander, bevor weitere Rechtsakte verabschiedet werden.
  • Die Verbesserung von Transparenz und demokratischer Kontrolle bei der Rechtsetzung im Bereich der polizeilichen und justiziellen Zusammenarbeit auf europäischer Ebene, ungeachtet der Annahme des Vertrages von Lissabon.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert die Bundesregierung auf, sich für diese Forderungen - auch unter Berücksichtigung der Kritik des Bundesrates etwa zu der Schaffung von Exekutivbefugnissen für EUROPOL und EUROJUST - im weiteren Verfahren einzusetzen.

Diese Forderungen sind auch vom Europäischen Parlament mit breiter Mehrheit unterstützt worden (vgl. Bundesrats-Drucksache 910/09).

1.2.4. Vorratsspeicherung von Telekommunikations-Verkehrsdaten

Nach den Bestimmungen der Richtlinie 2006/24/EG hat die Bundesrepublik Deutschland dafür Sorge zu tragen, dass ein Katalog von Telekommunikations-Verkehrsdaten für mindestens sechs Monate zu speichern ist. Die aufzubewahrenden Daten sollen den Sicherheitsbehörden zur Verfügung stehen. Mit Urteil vom 02.03.2010 hat das Bundesverfassungsgericht die Vorschriften zur Umsetzung dieser Richtlinie für nichtig erklärt (zu Einzelheiten siehe Nr. 3.3).

In ihrer 80. Konferenz haben die Datenschutzbeauftragten des Bundes und der Länder ihre bisher nahezu einhellige Ablehnung gegenüber der sechsmonatigen Vorratsdatenspeicherung bekräftigt, zugleich aber ihre Haltung etwas modifiziert. In tatsächlicher Hinsicht sehen die Datenschutzbeauftragten das so genannte Quick-Freeze-Verfahren als eine ernst zu nehmende Alternative zu einer sechsmonatigen Datenerfassung an. Hierunter verstehe ich die Möglichkeit von Sicherheitsbehörden, bei einem entsprechenden Sachverhalt unter den gesetzlichen Voraussetzungen die Anbieter von Telekommunikationsdienstleistungen zu einem "Einfrieren" vorhandener Daten zu verpflichten. Wer ein Quick-Freeze-Verfahren vorschlägt, muss allerdings auch dafür Sorge tragen, dass Daten zum "Einfrieren" für einen gewissen Zeitraum zugreifbar vorhanden sind.

1.2.5. Entscheidung des Europäischen Gerichtshofs zur Unabhängigkeit der Datenschutzaufsicht

Unmittelbaren Handlungsbedarf löst ein Urteil des Europäischen Gerichtshofs vom 09.03.2010 (Rechtssache 518/07) aus, wonach die gegenwärtige Datenschutzaufsicht über die Privatwirtschaft gegen Art. 28 Abs. 1 der Datenschutzrichtlinie verstößt. Nach dieser Vorschrift sind in den Mitgliedstaaten eine oder mehrere öffentliche Stellen zu beauftragen, die Anwendung der innerstaatlichen Vorschriften zur Umsetzung der Richtlinie zu überwachen. Diese Kontrollstellen haben die ihnen zugewiesenen Aufgaben in "völliger Unabhängigkeit" wahrzunehmen.

Art. 28 Abs. 1 Richtlinie 95/46/EG

Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen.

Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.

Der Europäische Gerichtshof hat in seiner Entscheidung klargestellt, dass die Kontrollstellen keinerlei äußerer Einflussnahme, sei sie unmittelbar oder mittelbar, unterworfen sein dürfen (Rdnr. 30 der Entscheidung). Diese Anforderungen können regelmäßig nur erfüllt werden, wenn der Datenschutzkontrollinstanz eine institutionelle Unabhängigkeit eingeräumt wird. Damit steht die bis dahin übliche Rechts- und Fachaufsicht über die Datenschutzaufsicht durch die Innenministerien nicht im Einklang mit Europäischem Recht. Auch der bayerische Gesetzgeber muss deshalb die bisherige Form der Datenschutzaufsicht im Sinne der Vorgaben der Datenschutzrichtlinie verändern. Soll eine praxisgerechte Lösung gefunden werden, stehen dazu wohl zwei Wege im Raum. Erstens kann das bestehende Landesamt für Datenschutzaufsicht in eine unabhängige Behörde umgewandelt werden. Dann würde neben dem Bayerischen Landesbeauftragten für den Datenschutz eine weitere unabhängige Datenschutzbehörde entstehen. Angesichts der bereits bestehenden vielfältigen Aufgabenüberschneidungen kommt alternativ in Betracht, das Landesamt für Datenschutzaufsicht in den heute schon unabhängigen Bayerischen Landesbeauftragten für den Datenschutz - ggf. unter Beibehaltung beider Standorte - einzugliedern. Bis zum Redaktionsschluss dieses Tätigkeitsberichts stand die Entscheidung über die Zukunft der Datenschutzaufsicht in Bayern noch aus.

Die 79. Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat zu den Folgerungen aus der Entscheidung des Europäischen Gerichtshofs eine Entschließung gefasst.

Entschließung

79. Konferenz der Datenschutzbeauftragten

des Bundes und der Länder

am 17./18.03.2010 in Stuttgart

Effektiver Datenschutz braucht unabhängige Datenschutzkontrolle!

Um das Grundrecht der Bürgerinnen und Bürger auf Datenschutz zu gewährleisten, bedarf es einer unabhängigen Datenschutzkontrolle. Der Europäische Gerichtshof hat festgestellt, dass die Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich in Deutschland nicht völlig unabhängig sind und die Bundesrepublik Deutschland damit gegen die Verpflichtung aus Art. 28 der Datenschutzrichtlinie (Richtlinie 95/46/EG) verstößt (Urteil vom 09.03.2010, C-518/07). Europarechtswidrig ist nicht nur die organisatorische Einbindung zahlreicher Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich in die jeweiligen Innenministerien, sondern auch die Aufsicht der Regierungen über die Datenschutzbehörden. Darüber hinaus ist eine grundsätzliche Neuordnung der Datenschutzaufsicht in Deutschland geboten. Die Grundsätze dieser Entscheidung zur Unabhängigkeit sind auf die Datenschutzkontrolle der öffentlichen Stellen anzuwenden.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert die Gesetzgeber in Bund und Ländern auf, die Datenschutzaufsicht schnellstmöglich den Vorgaben der Richtlinie entsprechend umzugestalten.

Die Ausgestaltung der Unabhängigkeit der Datenschutzkontrollinstanzen muss insbesondere folgenden Kriterien entsprechen:

  • Die Datenschutzkontrollstellen müssen ihre Aufgaben ohne jegliche unmittelbare und mittelbare Einflussnahme Dritter wahrnehmen können.
  • Es darf keine Fach- und Rechtsaufsicht geben.
  • Auch eine mögliche Dienstaufsicht darf nicht zu einer unmittelbaren oder mittelbaren Einflussnahme auf Entscheidungen der Datenschutzkontrollstellen führen.
  • Eine Einflussnahme seitens der kontrollierten Stellen ist auszuschließen.
  • Zu einer unabhängigen Amtsführung gehören ausreichende Eingriffs- und Durchsetzungsbefugnisse.
  • Um eine unabhängige Wahrnehmung der Tätigkeit der Datenschutzkontrollstellen zu gewährleisten, muss ihnen die notwendige Entscheidungshoheit bei Personal, Haushalt und Organisation zustehen.

1.2.6. Bundesdatenschutzgesetz - Novellen 2009

Im Jahr 2009 hat der Bundesgesetzgeber gleich dreimal das Bundesdatenschutzgesetz (BDSG) geändert. Aus Sicht des Datenschutzes im öffentlichen Bereich könnten insbesondere zwei Regelungen Auswirkungen auf den Freistaat Bayern haben.

Zunächst wurden die Grundsätze der Datenvermeidung und Datensparsamkeit in § 3 a verbindlicher gefasst.

§ 3 a Datenvermeidung und Datensparsamkeit

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.

Die Prinzipien der Datenvermeidung und Datensparsamkeit sind mit dem Erforderlichkeitsprinzip verwandt. Als Grundnorm für das Konzept eines Datenschutzes durch Technik setzen die Grundsätze jedoch weit früher an, als es beispielsweise Art. 7 BayDSG tut. Nach dieser Vorschrift haben öffentliche Stellen die technischen und organisatorischen Maßnahmen zu treffen, die "erforderlich sind", die Ausführung des Datenschutzgesetzes zu gewährleisten. Anders als Art. 7 BayDSG knüpft § 3 a BDSG nicht erst bei dem Umgang mit personenbezogenen Daten an, sondern stellt bereits Anforderungen an die Auswahl und Ausgestaltung der technischen Verarbeitungssysteme. Die Einbeziehung des Datenschutzes in die Systeme und Verfahren würde spätere Datenschutzprobleme vermeiden helfen. Auch wenn man sich nicht die heutigen Modewörter "Privacy by Design" (Datenschutz durch Technikgestaltung) oder "Privacy by Default" (Datenschutz durch technische Voreinstellungen) zu Eigen macht, ist die Festschreibung der Grundsätze der Datenvermeidung und Datensparsamkeit im Bayerischen Datenschutzgesetz in Ansehung der technischen Entwicklung zur allgegenwärtigen Datenverarbeitung längst überfällig.

In diesem Zusammenhang sei auch erwähnt, dass der Katalog der nach Art. 7 Abs. 2 BayDSG zu beachtenden technischen und organisatorischen Maßnahmen nach wie vor auf dem Stand des BDSG 1990 ist und verfassungsrechtlich begründete Grundsätze wie das Trennungsprinzip nach wie vor gesetzlich nicht ausdrücklich vorsieht (anders: Anlage Nr. 8 zu § 9 BDSG, Anlage Nr. 8 zu § 78 a SGB X).

Nr. 8 zu § 9 BDSG

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, ...

8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Gerade im Zusammenhang mit der gegenwärtigen Vernetzung von Datensystemen gewinnt das Trennungsprinzip zunehmend an Bedeutung (anschaulicher Anwendungsfall dazu: Nr. 2.2.1).

Unmittelbare Auswirkungen auf bayerische öffentliche Stellen als Auftragnehmer entfaltet weiterhin die Neuregelung der Auftragsdatenverarbeitung in § 11 BDSG. Auftragsdatenverarbeitung ist dadurch gekennzeichnet, dass der "Auftraggeber" eine andere Stelle mit der Durchführung bestimmter Datenverarbeitungsvorgänge beauftragt, die er ansonsten selbst ausführen müsste. Zugleich behält der Auftraggeber im Außenverhältnis die volle datenschutzrechtliche Verantwortlichkeit für den Umgang mit den personenbezogenen Daten. Nach der Novelle muss der Auftraggeber gemäß § 11 Abs. 2 eine ganze Reihe von Pflichten erfüllen, damit eine rechtskonforme Auftragsdatenverarbeitung vorliegt.

§ 11 Abs. 2 BDSG

Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach Abs. 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

Von einigen bayerischen Behörden, die Daten im Auftrag von Bundesbehörden verarbeiten, bin ich mittlerweile darüber informiert worden, dass die Aufträge entsprechend der neuen gesetzlichen Vorgaben abgeändert worden sind. Der Gesetzesbegründung zufolge soll die Abänderung des § 11 Abs. 2 BDSG die bisherige Rechtslage klarstellen und damit die Verantwortlichkeit der Auftraggeber für die Rechtmäßigkeit der delegierten Datenverarbeitung verdeutlichen (vgl. Bundestags-Drucksache 16/12011, S. 40 f.). Es wäre deshalb zu überlegen, ob der bayerische Gesetzgeber entsprechende Klarstellungen in Art. 6 BayDSG ebenfalls vornimmt.

Trotz der zahlreichen Änderungen im Bundesdatenschutzgesetz besteht der Reformbedarf auf Bundesebene fort. Der Bundesminister des Inneren soll dazu beabsichtigen, zeitnah ein Eckpunktepapier zu einer Neukonzeption des Bundesdatenschutzrechts vorzulegen.

1.2.7. Beschäftigtendatenschutz

Im Spätsommer 2010 hat die Bundesregierung einen Gesetzentwurf zum Beschäftigtendatenschutz in den Bundestag eingebracht (Bundesrats-Drucksache 535/10), der voraussichtlich ebenfalls Auswirkungen auf die Beschäftigten bayerischer öffentlicher Stellen haben wird. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat seit Jahren immer wieder auf die Notwendigkeit der Regelung des Beschäftigtendatenschutzes hingewiesen, ohne dass je eine Bundesregierung einen Gesetzesentwurf in den Bundestag eingebracht hat. Unbestritten ist ein solches Regelungsprojekt angesichts der vielfältigen widerstreitenden Interessen ein schwieriges Unterfangen. Dass die Bundesregierung nun diesen überfälligen Schritt gegangen ist, ist deshalb - bei aller Kritik an Details - im Grundsatz verdienstvoll.

Wer sich intensiver mit den Fragen des Beschäftigtendatenschutzes befassen will, interessiert sich sicherlich dafür, dass die Bundestagsfraktion der SPD einen Ressortentwurf des Bundesministeriums für Arbeit und Soziales aus der 16. Legislaturperiode für ein Beschäftigtendatenschutzgesetz inhaltlich übernommen und zu Beginn der 17. Legislaturperiode in den Bundestag eingebracht hat (vgl. Bundestags-Drucksache 17/69). Auch die Fraktion Bündnis 90/Die Grünen hat einen eigenen Gesetzesentwurf zur Diskussion gestellt, ohne ihn allerdings im Berichtszeitraum in den Bundestag einzubringen (im Internet abrufbar unter http://beschaeftigten-datenschutz.de (externer Link)). Diese beiden Entwürfe unterscheiden sich im Grundansatz vom Entwurf der Bundesregierung insoweit, als sie den Beschäftigtendatenschutz nicht im BDSG, sondern in einem eigenständigen Gesetz regeln wollen.

Beide Reformansätze - Ergänzung des BDSG durch ein Kapitel über den Beschäftigtendatenschutz und eine bereichsspezifische Vollregelung - haben nachvollziehbare Argumente auf ihrer Seite. Für den Grundansatz der Bundesregierung spricht unter anderem, dass die Regelung des Beschäftigtendatenschutzes in einem Kapitel des BDSG zahlreiche Redundanzen und Verweisungen vermeidet. Für den Lösungsansatz der beiden genannten Oppositionsfraktionen lässt sich argumentieren, dass der Beschäftigtendatenschutz durchaus Besonderheiten aufweist, die eine bereichsspezifische Vollregelung nahelegt.

Letztlich wird es darauf ankommen, die berechtigten Verarbeitungsinteressen von Arbeitgebern mit den schutzwürdigen Rechtsgütern der Beschäftigten in ein angemessenes Verhältnis zu einander zu setzen.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat den politischen Willensbildungsprozess zum Beschäftigtendatenschutz intensiv begleitet. Unter anderem hat sie hierzu drei Entschließungen verabschiedet.

Mit der Konferenz bin ich der Meinung, dass der Regierungsentwurf noch in einigen Punkten grundlegend zu verbessern ist.

Entschließung

der Konferenz der Datenschutzbeauftragten

des Bundes und der Länder

vom 22.06.2010

Beschäftigtendatenschutz stärken statt abbauen

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder begrüßt es, dass die Bundesregierung nach nahezu 30-jähriger Diskussion den Bereich Beschäftigtendatenschutz gesetzlich regeln will. Angesichts der Bedeutung des Beschäftigtendatenschutzes für Arbeitgeber und Arbeitnehmer sollte im Gesetzgebungsverfahren der Grundsatz "Qualität vor übereilten Regelungen" gelten. Im Hinblick darauf wäre es verfehlt, den Gesetzentwurf in einem Schnellverfahren ohne gründliche Diskussion durchzupauken. Ein solches Verfahren würde unweigerlich zu handwerklichen Fehlern und zu einer nicht akzeptablen inhaltlichen Unausgewogenheit der Bestimmungen führen. Beides gilt es zu vermeiden.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder bedauert daher, dass der vom Bundesminister des Innern vorgelegte Entwurf das angestrebte Ziel eines zeitgemäßen und verbesserten Schutzes der Beschäftigten vor Überwachung und übermäßiger Kontrolle in wesentlichen Punkten und Zusammenhängen verfehlt. Zudem bleibt eine ganze Reihe von Fragen und Problemen ungeklärt. Im Ergebnis würden die vorgesehenen Änderungen in zentralen Bereichen des Arbeitslebens eine Verschlechterung des Datenschutzes für die Beschäftigten zur Folge haben. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder appelliert an den Bundesgesetzgeber, den vorliegenden Gesetzentwurf grundlegend zu überarbeiten, jedenfalls aber deutlich zu Gunsten des Persönlichkeitsrechts der Beschäftigten zu ändern. Ein Gesetz zur Regelung des Beschäftigtendatenschutzes sollte einen angemessenen Ausgleich zwischen den berechtigten Informationsinteressen des Arbeitgebers und dem verfassungsrechtlich geschützten Persönlichkeitsrecht des Beschäftigten schaffen. An diesem Anspruch muss sich ein Beschäftigtendatenschutzgesetz messen lassen, das diesen Namen verdient.

Substantielle Verbesserungen an dem Entwurf eines Beschäftigtendatenschutzgesetzes sind insbesondere in den folgenden Punkten geboten:

  • Die im Gesetzentwurf vorgesehene Erlaubnis zur Datenverarbeitung bei Verhaltens- und Leistungskontrollen ist zu weit gefasst und lädt zur Ausweitung der Kontrolle und Überwachung der Beschäftigten geradezu ein. Sie muss deshalb präzise gefasst werden und ist an strenge Voraussetzungen zu knüpfen, damit die durch höchstrichterliche Rechtsprechung gefestigte Auslegung des derzeitigen Datenschutzrechts im Sinne des Schutzes der Beschäftigten vor übermäßiger Überwachung bestehen bleibt.
  • Auch die im Entwurf vorgesehene allgemeine Erlaubnis zur Verarbeitung und Nut-zung von Beschäftigtendaten zur "Verhinderung und Aufdeckung von Vertragsverletzungen zu Lasten des Arbeitgebers, Ordnungswidrigkeiten und Straftaten" würde den Arbeitgebern sehr weitgehende zusätzliche Befugnisse zur Auswertung und Verknüpfung unterschiedlichster Datensammlungen in die Hand geben. Der Gesetzgeber muss vielmehr klarstellen, dass Maßnahmen, die zu einer ständigen Kontrolle der Beschäftigten führen oder den Betroffenen den Eindruck einer umfassenden Überwachung am Arbeitsplatz vermitteln - etwa durch ständige Videoüberwachung oder regelmäßige Aufzeichnung, Mitschnitte oder Mithören von Ferngesprächen -, weiterhin zu unterbleiben haben.
  • Die Intention des Gesetzentwurfs, den Umfang der in Bewerbungsverfahren und während des Beschäftigungsverhältnisses verwendeten Daten zu begrenzen, wird auch verfehlt, wenn - wie im Entwurf vorgesehen - Arbeitgeber im Internet verfügbare Informationen generell nutzen dürfen, und zwar sogar dann, wenn diese durch Dritte ohne Kenntnis der Betroffenen und somit häufig rechtswidrig eingestellt wur-den. Damit wird vom datenschutzrechtlichen Grundsatz der Direkterhebung beim Betroffenen abgewichen und Arbeitgeber werden geradezu dazu eingeladen, im Internet und in sozialen Netzwerken systematisch nach dort vorhandenen Informatio-nen über Bewerber und Beschäftigte zu recherchieren. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder erwartet vom Gesetzgeber, dass er die Nutzung derartiger Daten untersagt oder zumindest wirksam begrenzt und die Arbeitgeber dazu verpflichtet, die Betroffenen aktiv
    - und nicht erst auf Nachfrage - darüber aufzuklären, woher die verwendeten Daten stammen.
  • Der Schutz der Beschäftigten vor unangemessener Kontrolle und Überwachung ist gerade bei der zunehmenden Nutzung elektronischer Medien am Arbeitsplatz von besonderer Bedeutung. Es ist eine normenklare, strikte Begrenzung der Einsichtnahme der Arbeitgeber in die elektronische Kommunikation von Beschäftigten unter Berücksichtigung von deren schützenswerten Belangen erforderlich.
  • Die im Gesetzentwurf an mehreren Stellen vorgesehene "Einwilligung" der Beschäftigten führt zu einer erheblichen Erweiterung der (Kontroll-)Befugnisse der Arbeitgeber. Diese wären jedoch rechtlich höchst zweifelhaft, weil Einwilligungen im Arbeitsverhältnis in den meisten Fällen mangels Freiwilligkeit nicht rechtswirksam erteilt werden können. Hinzu kommt, dass im Gesetzentwurf an keiner Stelle definiert ist, welche Anforderungen an die Rechtswirksamkeit von Einwilligungen im Arbeitsverhältnis zu stellen sind.

Im Sinne der jüngsten Entschließung zum Beschäftigtendatenschutz habe ich den Staatsminister des Innern gebeten, auf entsprechende Verbesserungen im Rahmen der Beteiligung des Bundesrats hinzuwirken. Soweit anhand von Ausschussdrucksachen ersichtlich, hat der Freistaat im Rahmen seiner Stellungnahme überwiegend meine Empfehlungen aufgegriffen.

1.3. Datenschutz und Informationsfreiheit

Im Berichtszeitraum haben die Oppositionsfraktionen im Bayerischen Landtag im Ergebnis erfolglos jeweils einen Gesetzesentwurf zur Regelung des Zugangs zu Informationen im Freistaat Bayern (Informationsfreiheitsgesetz) in das Parlament eingebracht. Im Sinne der Transparenz öffentlicher Datenverarbeitung habe ich das Scheitern dieser Gesetzesinitiativen mit Bedauern zur Kenntnis genommen. Klarstellend möchte ich darauf hinweisen, dass ich eine inhaltliche Wechselbeziehung zwischen dem Recht auf Informationszugang und dem Datenschutz als gegeben ansehe (siehe hierzu 23. Tätigkeitsbericht, Nr. 2.7). Dementsprechend erhebe ich auch keine Bedenken gegen ein Informationsfreiheitsgesetz, wenn es Vorschriften enthält, die einen angemessenen Schutz personenbezogener Daten gewährleisten.

Im Berichtszeitraum haben sich mehrere Kommunen an mich gewandt, um die Übereinstimmung ihrer Informationsfreiheitssatzungen mit dem Datenschutzrecht überprüfen zu lassen. In solchen Fällen weise ich stets darauf hin, dass eine Informationsfreiheitssatzung den Vorrang des Gesetzes beachten muss. Konkret bedeutet dies: Die Vorgaben des Art. 19 BayDSG (teilweise in Verbindung mit Art. 17 Abs. 1 Nr. 2, Absätze 2 bis 4 BayDSG) für die Datenübermittlung an nicht-öffentliche Stellen müssen auch in Informationsfreiheitssatzungen eingehalten werden.

1.4. Öffentlichkeitsarbeit

Die Bedeutung des Selbstdatenschutzes und der Datenschutzkompetenz habe ich bereits im vergangenen Tätigkeitsbericht hervorgehoben (siehe hierzu 23. Tätigkeitsbericht, Nr. 2.3). Allerdings müssen die Bürgerinnen und Bürger auch in die Lage versetzt werden, ihre Datenschutzrechte tatsächlich auch wahrnehmen zu können. Im Rahmen meiner Öffentlichkeitsarbeit habe ich deshalb besonderen Wert auf die Darstellung gelegt, welche konkreten Möglichkeiten die Bürgerinnen und Bürger haben, ihr Persönlichkeitsrecht zu schützen.

Mit meiner Broschüre zum Thema "Datenschutz im Krankenhaus" möchte ich Patientinnen und Patienten für typische datenschutzrechtliche Problemfelder eines Krankenhausaufenthalts sensibilisieren.

Mit Hilfe einer aus Sicht eines fiktiven Patienten erzählten Geschichte wird der Leser durch die verschiedenen Stationen eines Krankenhausaufenthalts geführt. In den Abschnitten "Bei der Aufnahme", "Auf der Station", "Auskünfte über mich", "Forschung mit meinen Daten" und "Nach dem Aufenthalt" werden jeweils wichtige datenschutzrechtliche Fragestellungen in einer für den fachlichen Laien verständlichen Art und Weise angesprochen. Auf detaillierte juristische Ausführungen zu den jeweiligen Rechtsvorschriften sowie auf komplexe technisch-organisatorische Darlegungen habe ich bewusst verzichtet.

Der Erfolg gibt diesem Konzept recht: Über 7.000 Exemplare dieser Broschüre sind bereits verteilt worden, darüber hinaus wird sie auch von meiner Webseite abgerufen.

Im Berichtszeitraum wurde von meiner Geschäftsstelle auch eine neue Orientierungshilfe zur "Auftragsdatenverarbeitung" erstellt und auf meiner Homepage veröffentlicht. Diese Orientierungshilfe

  • zeigt die Vor- und Nachteile einer Auftragsdatenverarbeitung auf,
  • erläutert die zu beachtenden Rechtsvorschriften und Formen der Auftragsdatenverarbeitung,
  • weist auf die bestehenden Rechte und Pflichten von Auftraggeber und Auftragnehmer hin,
  • gibt Hinweise bezüglich der Auswahl des Auftragnehmers und der Vertragsgestaltung,
  • schildert die erforderliche Verfahrensweise bezüglich der Überprüfung der Einhaltung der Vertragsregelungen und
  • grenzt die Auftragsdatenverarbeitung zur Funktionsübertragung ab.

Am 16.10.2010 nahm der Bayerische Landesbeauftragte für den Datenschutz zum ersten Mal am Tag der offenen Tür des Bayerischen Landtags teil. Dieses Ereignis nahm ich zum Anlass, die grundlegend überarbeitete Webseite meiner Dienststelle vorzustellen (www.datenschutz-bayern.de).

1.5. Schlussbemerkung

Die nachfolgenden Kapitel geben einen Überblick über meine Beteiligung an weiteren wesentlichen, hier nicht erwähnten Gesetzgebungsverfahren und meine Praxis der Datenschutzkontrolle der bayerischen öffentlichen Stellen im Berichtszeitraum 2009/2010.