≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 1.2.2007

21. Statistik

21.1. eGovernment-Projekt "Amtliche Schuldaten"

Die Erhebung der "Amtlichen Schuldaten" (ASD) war bereits in der Vergangenheit Gegenstand einer intensiven Diskussion zwischen dem Staatsministerium für Unterricht und Kultus und mir. Dabei ging es zum einen um die Frage einer tragfähigen Rechtsgrundlage und zum anderen um die Frage, um welche Art von Statistik es sich handelt.

Das Kultusministerium geht derzeit vom Vorliegen einer Geschäftsstatistik aus, obwohl bei einer derartigen Statistik an sich nur im Verwaltungsvollzug bereits angefallene Daten verarbeitet werden können. Zudem stützt das Staatsministerium das Verfahren auf die - unspezifisch formulierte - Vorschrift des Art. 113 BayEUG ("Die Schulaufsichtsbehörden haben in Erfüllung ihrer Aufgaben insbesondere das Recht, .... Berichte, Nachweise und statistische Angaben zu fordern."). Das Verfahren ist bisher arbeitsteilig angelegt: Das Staatsministerium bereitet die Lehrer- und Unterrichtsdaten auf, das Landesamt für Statistik und Datenverarbeitung die Schülerdaten. Dem Landesamt werden dabei nur aggregierte Klassendaten geliefert.

Im Rahmen der eGovernment-Initiative der Staatsregierung hat das Staatsministerium für Unterricht und Kultus im Jahr 2005 eine vollständige Neukonzeption des Verfahrens "Amtliche Schuldaten" in Angriff genommen. Dieses Vorhaben wurde sicherlich auch durch ein nahezu identisches, inzwischen weitgehend realisiertes Projekt in Baden-Württemberg (dort kurz "E-Stat" genannt) sowie durch den Beschluss der Kultusministerkonferenz (KMK) zur Einführung eines "Kerndatensatzes der Länder für schulstatistische Individualdaten" befördert. Der Landesbeauftragte für den Datenschutz Baden-Württemberg hat zu dem dortigen Projekt in seinem 25. Tätigkeitsbericht 2004 ausführlich Stellung genommen; die dortige Landesregierung hat bezüglich der Rechtsgrundlagen einen umfangreichen Gesetzentwurf vorgelegt.

Nach Darstellung des Staatsministeriums für Unterricht und Kultus ist Gegenstand dieser Neukonzeption eine umfassende Restrukturierung der Geschäftsprozesse der Kultusverwaltung unter Ausschöpfung der heute verfügbaren informationstechnischen Möglichkeiten - kurz gesagt: ein effektives, netzbasiertes Schulverwaltungsverfahren.

Das Projekt geht im Wesentlichen davon aus, dass (web-browser-basiert) die (Schul-)Daten dort erfasst werden, wo sie anfallen. Durch die Einrichtung von zentralen Datenbanken (z.B. für Dienststellen, Schüler, Unterrichtseinheiten) und den Zugriff auf bereits bestehende Datenspeicher (z.B. Personaldatenbanken der Lehrer) soll die Mehrfachhaltung von Daten vermieden werden. Zudem soll mittels einer Verbindung mit den im Melderegister über die Schulpflichtigen gespeicherten Daten der Erfassungsaufwand innerhalb der Kultusverwaltung reduziert werden. Die Rationalisierung von Arbeitsprozessen soll die rechtzeitige Verfügbarkeit der aufbereiteten Daten sowie deren benutzerfreundliche Auswertbarkeit im Rahmen eines modernen Führungsinformationssystems (einschließlich eines Data Warehouse) ermöglichen. Die Statistikdaten sollen dann quasi als "Abfallprodukt" der vorgehaltenen Verwaltungsdaten anfallen. Im Rahmen einer Benutzerverwaltung soll schließlich festgelegt werden, welche Funktionen die einzelnen Benutzer ausüben dürfen und welche Zugriffsrechte diese erhalten.

Festzuhalten ist, dass die Implementierung eines derart umfangreichen, multifunktionalen eGovernment-Projekts mit vielfältigen Nutzungsmöglichkeiten von den bestehenden gesetzlichen Grundlagen, insbesondere von Art. 85 BayEUG, nicht mehr gedeckt ist. Notwendig ist daher - wie in Baden-Württemberg - die Schaffung einer umfassenden und normenklaren gesetzlichen Rechtsgrundlage.


Bei meinem derzeitigen Kenntnisstand halte ich in diesem Zusammenhang allerdings insbesondere die Vorhaltung einer Vielzahl von Daten aller bayerischen Schüler in personenbezogener Form in zentralen Datenbanken für datenschutzrechtlich problematisch. Durch die beabsichtigte Vergabe von Schüler-Identifikationsnummern wird die Gefahr der Erstellung von Persönlichkeitsprofilen sogar noch verstärkt. Dies gilt in gleicher Weise hinsichtlich der geplanten Vergabe von Lehrer-Identifikationsnummern zur Ermöglichung von (lediglich pseudonymisierten?) Verlaufsuntersuchungen.


Aus datenschutzrechtlicher Sicht sollte im Rahmen der notwendigen Rechtsgrundlage jedenfalls auch die Erhebung der Schulstatistik auf eine tragfähige, rechtssichere und normenklare gesetzliche Basis gestellt werden. Die von der KMK beschlossene Umstellung auf Schülerindividualdatensätze lässt für die bisher vom Kultusministerium vertretene Auffassung, dass es sich bei den schulstatistischen Erhebungen um die bloße Aufbereitung einer Geschäftsstatistik handelt, keinen Raum mehr. Vor allem im Hinblick auf die fehlende Normenklarheit verfehlt zudem der oben zitierte Art. 113 BayEUG die an eine derartige Rechtsgrundlage zu stellenden Anforderungen.

Aus diesen Gründen habe ich beim Staatsministerium für Unterricht und Kultus mehrfach die Übermittlung eines umfassenden Gesetzentwurfs für das Projekt "Amtliche Schuldaten" angemahnt. Gegenüber dem Kultusministerium habe ich zum Ausdruck gebracht, dass eine verlässliche datenschutzrechtliche Beurteilung von Seiten des Landesbeauftragten nur auf der Basis eines klaren und eindeutigen Sachverhalts erfolgen kann. Dies setzt voraus, dass die mit dem Gesamtprojekt "Amtliche Schuldaten" - ebenso wie mit den jeweiligen Teilprojekten - konkret verfolgten Ziele, beabsichtigten Datenaustausche und zu schaffenden Funktionalitäten im Einzelnen dargelegt werden. Als maßgeblichen Schritt hierzu sehe ich weiterhin die Erarbeitung eines Entwurfs einer Rechtsgrundlage für das Gesamtprojekt "Amtliche Schuldaten" einschließlich eingehender, detaillierter Begründung an. Dabei sollte insbesondere auch die Rechtsnatur des Statistikteils des Projekts "Amtliche Schuldaten" einer endgültigen, rechtssicheren Klärung zugeführt werden.

Im November 2006 hat mir das Staatsministerium für Unterricht und Kultus die baldige Übermittlung eines umfassenden Gesetzentwurfs für das Gesamtprojekt "Amtliche Schuldaten" zugesagt. Ich werde diesen Gesetzentwurf einer kritischen datenschutzrechtlichen Prüfung unterziehen.

Auch die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat zu der genannten Thematik in Form der Entschließung "Keine Schülerstatistik ohne Datenschutz" kritisch Stellung bezogen (siehe Anlage Nr. 21).

21.2. Speicherung von Lehrerdaten auf dem Server eines Privatunternehmens

Im Jahr 2005 wurde ich durch eine Eingabe darauf aufmerksam, dass das Staatsministerium für Unterricht und Kultus die Übermittlung der für die Erhebung der "Amtlichen Schuldaten" benötigten Lehrerdaten von den Schulen über das Internetportal eines privaten Schulverwaltungssoftware-Anbieters an das jeweilige Schulamt duldete. Zu diesem Zweck wurden die Lehrerdaten auf dem Server des Privatunternehmens (zumindest zwischen-)gespeichert.

In diesem Zusammenhang stellten sich mir aus datenschutzrechtlicher Sicht mehrere Fragen. So war vor allem zu klären,

  • ob es sich hier um Auftragsdatenverarbeitung im Sinne des Art. 6 BayDSG handelte, wer jeweils Auftraggeber war und welche vertraglichen Bindungen bestanden,
  • ob die (zumindest zeitweilige) Vorhaltung von Personalaktendaten außerhalb der Kultus
    (-personal-)verwaltung in dem privaten Internetportal mit den Bestimmungen der Art. 100 a ff. BayBG über das Personalaktengeheimnis zu vereinbaren war und
  • ob und von wem das Verfahren gem. Art. 26 BayDSG datenschutzrechtlich freigegeben worden war.

Mit diesen Fragen wandte ich mich an das Staatsministerium für Unterricht und Kultus.

  • Das Kultusministerium brachte zur Frage des Vorliegens einer Auftragsdatenverarbeitung vor, dass der private Anbieter "für die AKDB im Auftrag der Staatlichen Schulämter" arbeite und somit der Tatbestand der datenschutzrechtlich zugelassen Auftragsdatenverarbeitung vorliege.


Selbst wenn man sich diese Rechtsauffassung zu eigen machte, hätte jedoch gemäß Art. 6 Abs. 2 Satz 2 BayDSG ein derartiger Auftrag von jedem einzelnen Schulamt schriftlich erteilt werden müssen; dabei wären Datenerhebung, -verarbeitung und -nutzung sowie die technischen und organisatorischen Maßnahmen einschließlich etwaiger Unterauftragsverhältnisse auch jeweils schriftlich festzulegen gewesen. Dies war jedoch offensichtlich nicht geschehen. In diesem Zusammenhang musste ich das Kultusministerium auf Art. 25 Abs. 1 BayDSG hinweisen, der die gesetzliche Verantwortlichkeit für die Sicherstellung des Datenschutzes den fachlich zuständigen Staatsministerien jeweils für ihren Geschäftsbereich auferlegt.

  • Zur Frage der (zumindest zeitweiligen) Vorhaltung von Personalaktendaten außerhalb der Kultus(-personal-)verwaltung stellte das Kultusministerium lediglich unter Zitierung des Wortlauts von Art. 100 a Abs. 3 BayBG fest, dass die Zugriffsrechte hinsichtlich des Internetportals des privaten Anbieters so geregelt seien, dass nur diejenigen Bediensteten der Kultusverwaltung Zugang hätten, die im Rahmen der Personalverwaltung ohnehin mit der Bearbeitung von Personalangelegenheiten beauftragt seien, und dies nur soweit, wie es zu Zwecken der Personalverwaltung erforderlich sei.


Die Zugriffsberechtigungen von Bediensteten waren von mir aber nicht problematisiert worden. Vielmehr war vom Kultusministerium allein zu klären, in welchem Umfang, wie lange und ggf. mittels welcher Verschlüsselung Personalaktendaten des Lehrpersonals auf EDV-Einrichtungen des privaten Anbieters (zwischen-)gespeichert wurden und welche Einsichtsmöglichkeiten für Beschäftigte des privaten Anbieters in diesem Zusammenhang bestanden.

  • Aus seiner Darstellung, dass der private Anbieter "für die AKDB" arbeite, zog das Kultusministerium den Schluss, dass damit eine datenschutzrechtliche Freigabe durch die das Verfahren einsetzende öffentliche Stelle gem. Art. 26 Abs. 1 Satz 2 Halbsatz 1 BayDSG nicht erforderlich sei, da das Verfahren von der AKDB bereits datenschutzrechtlich freigegeben worden sei.



Nach Auskunft der von mir daraufhin angeschriebenen AKDB bestand allerdings hinsichtlich der Schulverwaltungssoftware des privaten Anbieters lediglich eine Zusammenarbeit bezüglich des Produktvertriebs; Vereinbarungen hinsichtlich der Fortentwicklung des Verfahrens habe es jedoch nicht gegeben. Insbesondere das in Rede stehende Internetportal sei ohne Auftrag und ohne datenschutzrechtliche Freigabe der AKDB entwickelt und den Anwendern zur Verfügung gestellt worden.

Nach mehrmonatiger, intensiver Diskussion hat das Staatsministerium für Unterricht und Kultus Folgendes veranlasst:

  • Alle Schulämter haben mit dem privaten Anbieter Einzelverträge im Sinne des Art. 6 BayDSG zu Art und Umfang der (Auftrags-) Datenverarbeitung abgeschlossen. Danach darf das Internetportal nur im Rahmen der Klassenbildung zum Einsatz kommen; für die Erhebung der "Amtlichen Schuldaten" im Oktober 2006 wurde die Nutzung des Portals allerdings untersagt.
  • Auf explizite Nachfrage hat der private Anbieter dem Kultusministerium versichert, dass die Personalaktendaten des Lehrpersonals in dem Internetportal pseudonymisiert gespeichert seien und somit die Mitarbeiter nicht in der Lage seien, diese Daten einer bestimmten Lehrkraft zuzuordnen.
  • Das Kultusministerium hat den privaten Anbieter aufgefordert, die zur Erteilung der datenschutzrechtlichen Freigabe gem. Art. 26 BayDSG erforderlichen Unterlagen zeitnah einzureichen.

Ich werde die weitere Entwicklung kritisch begleiten. Meiner Meinung nach unterstreicht dieser Vorgang exemplarisch die Bedeutung einer frühzeitigen, umfassenden datenschutzrechtlichen Beurteilung eines Verfahrens im Rahmen der datenschutzrechtlichen Freigabe. Dies umso mehr, als jedes Staatsministerium gem. Art. 25 BayDSG in seinem Geschäftsbereich für die Einhaltung datenschutzrechtlicher Vorgaben verantwortlich ist.

21.3. CEUSHB - Computerbasiertes EntscheidungsUnterstützungsSystem für die Hochschulen in Bayern

Zur Stärkung von Effizienz und Wirtschaftlichkeit des Hochschulmanagements wird derzeit mit dem Projekt CEUSHB ein Führungsinformationssystem für die Hochschulen und das Staatsministerium für Wissenschaft, Forschung und Kunst auf der Grundlage eines hierarchisch aufgebauten Data-Warehouse-Systems entwickelt.

Die Systemarchitektur von CEUSHB besteht aus folgenden (Teil-)Data-Warehouse-Systemen:

  • einem hochschulinternen Data-Warehouse-System für jede einzelne Hochschule mit aus den operativen Systemen der jeweiligen Hochschule extrahierten, bei Personenbezug faktisch anonymisierten Daten,
  • einem hochschulübergreifenden Data-Warehouse-System für alle Hochschulen mit ausgewählten landes- und bundesweiten Vergleichsdaten aus der Amtlichen Statistik und
  • einem Data-Warehouse-System für das Staatsministerium für Wissenschaft, Forschung und Kunst mit Daten aus der Amtlichen Statistik.

In die Planungen wurde ich von Anfang an eingebunden. Erfreulicherweise besteht sowohl seitens des Staatsministeriums für Wissenschaft, Forschung und Kunst als auch seitens des projektentwickelnden Wissenschaftlichen Instituts für Hochschulsoftware der Universität Bamberg großes Interesse an einer datenschutzrechtlich einwandfreien Umsetzung von CEUSHB: Zu begrüßen ist insbesondere, dass sowohl das hochschulübergreifende Data-Warehouse-System als auch das Data-Warehouse-System des Staatsministeriums für Wissenschaft, Forschung und Kunst beim Landesamt für Statistik und Datenverarbeitung - und nicht beim Staatsministerium selbst - betrieben werden sollen.

Datenschutzrechtliche Probleme können sich vor allem im Bereich von einelementigen Abfrageergebnissen - so genannten Tabelleneinsen - ergeben, da diese einen Personenbezug ermöglichen können. Insoweit vertrete ich folgenden Standpunkt:

Aufgrund der Bestimmung des § 6 Abs. 2 HStatG, nach der die Statistischen Landesämter ausdrücklich ermächtigt werden, auch einelementige Abfrageergebnisse an die obersten Landesbehörden zu liefern, erscheint der Nachweis von Tabelleneinsen im Data-Warehouse-System des Staatsministeriums für Wissenschaft, Forschung und Kunst selbst datenschutzrechtlich hinnehmbar.

Allerdings ist zu beachten, dass im Bereich der Amtlichen Statistik die Bekanntgabe von einelementigen Abfrageergebnissen an die obersten Landesbehörden in der Praxis regelmäßig mit der Auflage versehen wird, dass diese nur für Zwecke der Planung, nicht jedoch für die Regelung von Einzelfällen erfolgt. Dies ist Ausfluss der verfassungsrechtlichen Trennung von Statistik und Verwaltungsvollzug.

Bei Auswertungen aus dem hochschulübergreifenden Data-Warehouse-System können - entgegen ursprünglichen Aussagen - ebenfalls Tabelleneinsen entstehen. Dies ist von der Bestimmung des § 6 Abs. 2 HStatG jedoch nicht mehr gedeckt, da die Datenempfänger keine obersten Landesbehörden sind.

Im Hinblick auf das Personalaktengeheimnis sind hier aus datenschutzrechtlicher Sicht insbesondere Auswertungen von Personal- und Stellendaten als kritisch anzusehen. Durch eine Reduzierung der auswertbaren Merkmale im Zusammenspiel mit einem neu überdachten Berechtigungskonzept könnten nach Aussage der Projektleitung jedoch kritische Tabellenfelder nahezu ausgeschlossen werden. Es wurde vereinbart, mich von diesbezüglichen Überlegungen zu unterrichten.

Für das hochschulinterne Data-Warehouse-System gilt in Bezug auf Personal- und Stellendaten das eben Gesagte entsprechend. Auch hier könnte ein differenziertes und einschränkendes Berechtigungskonzept zur Problemlösung beitragen.

Generell habe ich die Projektverantwortlichen auf die Notwendigkeit einer Protokollierung sämtlicher Zugriffe auf das Führungsinformationssystem - und auch einer entsprechenden Kontrolle - hingewiesen. Sobald mir das Berechtigungskonzept vorgelegt wird, werde ich es einer kritischen datenschutzrechtlichen Prüfung unterziehen.

21.4. eSTATISTIK.core

Unter Vorlage umfangreicher Unterlagen hat mich der Präsident des Landesamts für Statistik und Datenverarbeitung im Berichtszeitraum um eine datenschutzrechtliche Bewertung des bundesweiten Statistikprojekts eSTATISTIK.core gebeten.

Das Verfahren eSTATISTIK.core soll den auskunftspflichtigen Unternehmen ermöglichen, statistische Daten automatisiert unmittelbar aus dem betrieblichen Rechnungswesen zu entnehmen und an einen zentralen gemeinsamen Internet-Dateneingang der Statistischen Ämter elektronisch zu übermitteln. Die dazu erforderlichen Programmpakete sollen die Softwarehersteller direkt in die jeweils von ihnen entwickelte Unternehmenssoftware integrieren. Mit dem Verfahren wird das Ziel verfolgt, durch Optimierung der Datengewinnung und des Datenaustausches die auskunftspflichtigen Unternehmen, aber auch die Statistischen Ämter zu entlasten. Der gemeinsame Internet-Dateneingang soll zumindest während einer Pilotphase vom Statistischen Bundesamt betrieben werden. Der Pilotbetrieb soll alle Aktivitäten umfassen, die für die automatisierte Übermittlung der statistischen Daten vom Absender bis zum originär zuständigen Statistischen Landesamt als Empfänger erforderlich sind. Die eingehenden Datenpakete sollen durch das Statistische Bundesamt entschlüsselt, auf formale Richtigkeit geprüft und anschließend an das jeweils zuständige Statistische Landesamt weitergeleitet werden.

Aus datenschutzrechtlicher Sicht stellt sich vor allem die Frage, ob hier eine Datenverarbeitung im Auftrag vorliegt oder eine Funktionsübertragung angenommen werden muss. Abhängig von dieser Frage sind Überlegungen zur Rechtsgrundlage anzustellen.

Grundsätzlich ist zu bemerken, dass für die Erhebung und Aufbereitung einer Bundesstatistik bis hin zum Landesergebnis - entsprechend der föderativen Gliederung der Bundesrepublik Deutschland - die Länder und damit die Statistischen Landesämter zuständig sind. Vor diesem Hintergrund erscheint die im Verfahren eSTATISTIK.core zunächst vorgesehene Entschlüsselung - und damit auch die Kenntnisnahme der von den Berichtspflichtigen übermittelten Datensätze - durch das Statistische Bundesamt als problematisch. Nach Durchsicht der Unterlagen scheinen die dem Statistischen Bundesamt zu übertragenden Aufgaben jedoch in der Hauptsache "Poststellencharakter" - einschließlich einer wohl weitgehend maschinell erfolgenden formalen Vorabkontrolle - zu haben. Die Auffassung, dass es sich hierbei um eine Datenverarbeitung im Auftrag handelt, ist deshalb aus meiner Sicht nicht von der Hand zu weisen.

Um Rechtsunsicherheiten und damit eine Gefährdung des seitens der Statistik als sehr wichtig eingestuften Projekts zu vermeiden, erscheint mir aber auch der Abschluss einer vom Statistischen Bundesamt und der überwiegenden Mehrheit der Statistischen Landesämter favorisierten, auf dem mit Gesetz vom 09.06.2005 in das Bundesstatistikgesetz eingefügten § 3 a BStatG basierenden Verwaltungsvereinbarung als rechtlich zulässig. Der mir vorgelegte Entwurf einer Verwaltungsvereinbarung geht in seiner Zielrichtung von einer Funktionsübertragung aus. Dabei ist jedenfalls positiv zu bemerken, dass der Entwurf sowohl eine Zweckbindungs- als auch eine Löschungsregelung enthält.

In diesem Zusammenhang möchte ich darauf hinweisen, dass die Vorschrift des § 3 a BStatG zwar keine Differenzierung nach dem Regelungsgegenstand - z.B. Pilotprojekt ja/nein - vorsieht. Ich bin aber der Meinung, dass der derzeitige Pilotcharakter des Verfahrens aus der Verwaltungsvereinbarung - durch eine entsprechende Formulierung - ersichtlich sein sollte. Folgerichtig sollten in der Vereinbarung dann aber auch die Dauer der Pilotphase und eine etwaige Auswertung der gewonnenen Erfahrungen geregelt werden.

Entscheidend für eine abschließende Beurteilung dürfte allerdings der Umfang der auf das "Poststellenamt" übertragenen Plausibilisierungsarbeiten sein.

Im Hinblick auf die eingangs erwähnte, grundsätzliche bundesstaatliche Aufgabenverteilung wäre es meiner Meinung nach wünschenswert, die endgültige "Poststelle" für das Verfahren eSTATISTIK.core bei einem Statistischen Landesamt einzurichten. Es liegt allerdings allein in der Verfügungsmacht der eine Verwaltungsvereinbarung abschließenden Beteiligten, eine derartige Regelung zu treffen. Bei meinem derzeitigen Kenntnisstand sehe ich aus datenschutzrechtlicher Sicht - zumindest für die Pilotphase - keine Ansatzpunkte für eine grundsätzliche Ablehnung des Projekts.

21.5. Volkszählung 2010/2011

Das Bundeskabinett hat am 29. August 2006 beschlossen, dass sich Deutschland an der kommenden Volkszählungsrunde der Europäischen Union 2010/2011 mit einem registergestützten Zensus beteiligt. Bei einem registergestützten Zensus werden die für die Zählung benötigten Daten vorwiegend aus Verwaltungsregistern zusammengeführt - hier insbesondere aus den Melderegistern und den Registern der Bundesagentur für Arbeit. Neben den Gebäude- und Wohnungseigentümern sollen aufgrund dieser Verfahrensweise nur etwa 10 % der Bevölkerung im Rahmen ergänzender Stichproben befragt werden.

Aus datenschutzrechtlicher Sicht bestehen gegen einen derartigen registergestützten Zensus keine grundsätzlichen Bedenken. Die vom Bundesverfassungsgericht im sog. Volkszählungsurteil (BVerfGE 65, 1) im Jahr 1983 aufgestellten Prinzipien zum Schutz des Grundrechts auf informationelle Selbstbestimmung müssen jedoch strikt beachtet werden. Es dürfen nur erforderliche Daten erhoben und verwendet werden; Datenerhebung und Datenverwendung sind gesetzlich zu regeln. Insbesondere dürfen die gewonnenen Statistikdaten nicht für Zwecke des Verwaltungsvollzugs verwendet werden. Darüber hinaus ist eine möglichst frühzeitige Anonymisierung anzustreben.

Ich werde die Vorbereitung und die Durchführung des Zensus aus datenschutzrechtlicher Sicht kritisch begleiten.