Sie sind hier: > Start > Tätigkeitsberichte > 25. TB 2012 > 1. Überblick
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 23.01.2013
1. Überblick
Soweit in den nachfolgenden Ausführungen Bezeichnungen von Personen im Maskulinum verwendet werden, wird diese Form verallgemeinernd verwendet und bezieht sich auf beide Geschlechter.
1.1. Reform des Europäischen Datenschutzrechtsrahmens
Der Friedensnobelpreis des Jahres 2012 wurde an die Europäische Union (EU) vergeben. Über sechs Jahrzehnte hinweg haben die Union und ihre Vorgänger den Frieden und die Versöhnung der Völker in Europa gefördert (siehe Stellungnahme des Nobelpreiskomitees auf www.nobelprize.org (externer Link)). Seit den Römischen Verträgen des Jahres 1957 hat die EU zugleich gewaltige Integrationsschritte unternommen. Schon im letzten Tätigkeitsbericht bin ich kurz auf den vorerst letzten bedeutenden Wegabschnitt dieser Integration, auf das Inkrafttreten des Vertrags von Lissabon, eingegangen (siehe hierzu 24. Tätigkeitsbericht, Nr. 1.2). In der Präambel des Vertrags über die Europäische Union heißt es, die Vertragsparteien seien "entschlossen, den Prozess der Schaffung einer immer engeren Union der Völker Europas" weiterzuführen, "in der die Entscheidungen entsprechend dem Subsidiaritätsprinzip möglichst bürgernah getroffen werden". Was dies konkret für die Fortentwicklung des Europäischen Datenschutzrechtsrahmens bedeutet, beschreiben vor Allem die Art. 16 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) und Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union (GRC).
Art. 16 AEUV
(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) Das Europäische Parlament und der Rat erlassen gemäß dem ordentlichen Gesetzgebungsverfahren Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien Datenverkehr. Die Einhaltung dieser Vorschriften wird von unabhängigen Behörden überwacht.
Die auf der Grundlage dieses Artikels erlassenen Vorschriften lassen die spezifischen Bestimmungen des Artikels 39 des Vertrags über die Europäische Union unberührt.
Art. 8 GRC Schutz personenbezogener Daten
(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.
(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.
Zurzeit wird der Datenschutz im Wesentlichen noch durch vier allgemeine EU-Rechtsakte geregelt. Vereinfacht ausgedrückt sieht dabei die Verordnung 45/2001/EG Vorschriften des Datenschutzes für die Institutionen der EU vor. Der Rahmenbeschluss des Rates 2008/977/JI soll einen angemessenen Schutz des Persönlichkeitsrechts hinsichtlich der Datenverarbeitung im Rahmen der polizeilichen und der justiziellen Zusammenarbeit in Strafsachen gewährleisten. Den allgemeinen Datenschutz regelt die Richtlinie 95/46/EG, die zugleich einen rechtlichen Rahmen für den freien Verkehr personenbezogener Daten zwischen den EU-Mitgliedstaaten setzt. Sie wird durch die Richtlinie 2002/58/EG ergänzt. Diese Richtlinie enthält besondere Regelungen für die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation.
Diese allgemeinen Datenschutzrechtsakte sollen jetzt teilweise ersetzt werden. Auf Grundlage der beiden zitierten Vorschriften Art. 16 AEUV und Art. 8 GRC hat die Europäische Kommission am 25.01.2012 zwei Rechtsakte zur Reform des Europäischen Datenschutzrechtsrahmens vorgeschlagen (Dokumente KOM (2012) 11 endg. und KOM (2012) 10 endg.).
Schon am 01.03.2012 hat der Bayerische Landtag sich in einer gemeinsamen Sitzung des Ausschusses für Verfassung, Recht, Parlamentsfragen und Verbraucherschutz und des Ausschusses für Bundes- und Europaangelegenheiten mit den beiden geplanten Neuregelungen des EU-Datenschutzrechtsrahmens eingehend auseinandergesetzt. Zu meiner großen Freude haben alle Fraktionen im Bayerischen Landtag im Grundsatz meine Einschätzung des Reformvorhabens geteilt. Danach ist die Reform des EU-Datenschutzrechtsrahmens zwar dringend erforderlich. Sie sollte jedoch in erster Linie darauf gerichtet sein, einen europaweiten Mindestdatenschutzstandard festzulegen. Die Vorschläge der Kommission zielen demgegenüber auf eine starke Vereinheitlichung des Datenschutzes ab und würden aus meiner Sicht insbesondere die Spielräume der mitgliedstaatlichen Gesetzgeber für einen weitergehenden Datenschutz im Bereich der öffentlichen Verwaltung unangemessen einengen.
Auch die 83. Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat eine Stellungnahme zu den beiden Reformvorschlägen verabschiedet, die in der Entschließung "Ein hohes Datenschutzniveau für ganz Europa!" vom 21./22.03.2012 zusammengefasst wird.
Entschließung der 83. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 21./22.03.2012
Ein hohes Datenschutzniveau für ganz Europa!
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder unterstützt die Absicht der Europäischen Kommission, den Datenschutz in der Europäischen Union zu modernisieren und zu harmonisieren.
Der Entwurf einer Datenschutz-Grundverordnung enthält Regelungen, die zu einer Weiterentwicklung des europäischen Datenschutzrechts führen können. Dazu gehören vor allem
- das Prinzip Datenschutz durch Technik,
- der Gedanke datenschutzfreundlicher Voreinstellungen,
- der Grundsatz der Datenübertragbarkeit,
- das Recht auf Vergessen,
- die verbesserte Transparenz durch Informationspflichten der verantwortlichen Stellen und
- die verschärften Sanktionen bei Datenschutzverstößen.
Hervorzuheben ist zudem die Geltung des europäischen Rechts für Anbieter aus Drittstaaten, deren Dienste sich auch an europäische Bürgerinnen und Bürger richten.
Die Datenschutzbeauftragten des Bundes und der Länder halten es für wesentlich, dass bei der Harmonisierung des Datenschutzrechts ein möglichst hohes Niveau für alle Mitgliedsstaaten vorgeschrieben wird. Die Konferenz hatte bereits im Konsultationsverfahren die Auffassung vertreten, dass diesem Ziel angesichts der gewachsenen Traditionen und Rechtsstandards in den Mitgliedsstaaten und der eingeschränkten begrenzten Rechtssetzungskompetenz der EU in Bezug auf innerstaatliche Datenverarbeitungsvorgänge im öffentlichen Bereich am wirksamsten durch eine Richtlinie Rechnung getragen werden kann. Wenn jetzt stattdessen der Entwurf einer unmittelbar geltenden Verordnung vorgelegt wird, muss diese im Sinne eines europäischen Mindestdatenschutzniveaus den Mitgliedsstaaten zumindest in Bezug auf die Datenverarbeitung der öffentlichen Verwaltung die Möglichkeit eröffnen, durch einzelstaatliches Recht weitergehende Regelungen zu treffen, die entsprechend der jeweiligen Rechtstradition die Grundrechte der Bürgerinnen und Bürger absichern und Raum für eine innovative Rechtsfortbildung schaffen. Nur so können beispielsweise in Deutschland die in der Rechtsprechung des Bundesverfassungsgerichts entwickelten Datenschutzgrundsätze bewahrt und weiterentwickelt werden.
Die Konferenz erkennt an, dass die Institution der betrieblichen Datenschutzbeauftragten erstmals verbindlich in Europa eingeführt werden soll. Die Erfahrungen in Deutschland mit den betrieblichen Datenschutzbeauftragten als unabhängige Kontroll- und Beratungsstellen in Unternehmen sind ausgesprochen positiv. Die Konferenz bedauert deshalb, dass die Kommission grundsätzlich nur Unternehmen mit mindestens 250 Beschäftigten zur Bestellung von Datenschutzbeauftragten verpflichten will. Dieses Vorhaben bedroht eine gewachsene und erfolgreiche Kultur des betrieblichen Datenschutzes in Deutschland.
Über die bereits in dem Verordnungsentwurf vorgeschlagenen Modernisierungen hinaus hält die Konferenz weitere Schritte für erforderlich, die sie etwa in ihrem Eckpunktepapier für ein modernes Datenschutzrecht vom 18.03.2010 vorgeschlagen hat:
- eine strikte Reglementierung der Profilbildung, insbesondere deren Verbot bei Minderjährigen,
- ein effektiver Schutz von Minderjährigen, insbesondere in Bezug auf das Einwilligungserfordernis eine Anhebung der Altersgrenze,
- die Förderung des Selbstdatenschutzes,
- pauschalierte Schadensersatzansprüche bei Datenschutzverstößen,
- einfache, flexible und praxistaugliche Regelungen zum technisch-organisatorischen Datenschutz, welche vor allem die Grundsätze der Vertraulichkeit, der Integrität, der Verfügbarkeit, der Nichtverkettbarkeit, der Transparenz und der Intervenierbarkeit anerkennen und ausgestalten,
- das Recht, digital angebotene Dienste anonym oder unter Pseudonym nutzen zu können und
- die grundsätzliche Pflicht zur Löschung der angefallenen Nutzerdaten nach dem Ende des Nutzungsvorganges.
Die Regelungen zur Risikoanalyse, Vorabkontrolle und zur Zertifizierung bedürfen der weiteren Präzisierung in der Verordnung selbst.
Für besonders problematisch hält die Konferenz die vorgesehenen zahlreichen Ermächtigungen der Europäischen Kommission für delegierte Rechtsakte, die dringend auf das unbedingt erforderliche Maß zu reduzieren sind. Alle für den Grundrechtsschutz wesentlichen Regelungen müssen in der Verordnung selbst bzw. durch Gesetze der Mitgliedsstaaten getroffen werden.
Die Konferenz weist darüber hinaus darauf hin, dass das im Entwurf der Datenschutz-Grundverordnung vorgesehene Kohärenzverfahren, welches die Aufsichtsbehörden in ein komplexes Konsultationsverfahren einbindet, die Unabhängigkeit der Datenschutzaufsicht beeinträchtigen und zu einer Bürokratisierung des Datenschutzes führen würde. Es muss deshalb vereinfacht und praktikabler gestaltet werden.
Die durch Artikel 8 der EU-Grundrechte-Charta und Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union gewährleistete Unabhängigkeit der Datenschutzaufsichtsbehörden gilt auch gegenüber der Europäischen Kommission. Die vorgesehenen Befugnisse der Kommission in Bezug auf konkrete Maßnahmen der Aufsichtsbehörden bei der Umsetzung der Verordnung wären damit nicht vereinbar.
Wiederholt hat die Konferenz auf die Bedeutung eines hohen und gleichwertigen Datenschutzniveaus auch im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen in Europa hingewiesen. Sie bedauert, dass der für diesen Bereich vorgelegte Richtlinienentwurf in vielen Einzelfragen hinter dem Entwurf für eine Datenschutz-Grundverordnung und hinter dem deutschen Datenschutzniveau zurückbleibt, etwa im Hinblick auf die Prinzipien der Datenverarbeitung (wie den Grundsatz der Erforderlichkeit) und auf die Rechte der Betroffenen (insbesondere zum Schutz des Kernbereiches der privaten Lebensgestaltung). Auch in diesem Bereich sollte die Richtlinie unter angemessener Berücksichtigung der mitgliedsstaatlichen Verfassungstraditionen ein EU-weit möglichst hohes Mindestniveau festschreiben.
Die Konferenz erklärt, dass sie den Gang des Gesetzgebungsverfahrens konstruktiv und kritisch begleiten wird.
Im Rahmen des ordentlichen Gesetzgebungsverfahrens zur Reform sind mittlerweile der Ausschuss der Regionen und das Europäische Parlament mit den Vorschlägen der Kommission befasst worden. Das weitere Gesetzgebungsverfahren wird den Regeln des Art. 294 AEUV folgen. Im Rahmen meiner Möglichkeiten werde ich den Reformprozess auch weiterhin konstruktiv-kritisch begleiten.
1.2. Cloud Computing-Initiative der EU-Kommission
Auch im Berichtszeitraum hat mich das Thema Cloud Computing vielfach beschäftigt. Unter anderem hat die Europäische Kommissarin für die Digitale Agenda, Neelie Kroes, eine neue Strategie der "Freisetzung des Cloud-Computing-Potenzials in Europa" gestartet (Mitteilung vom 27.09.2012, KOM 529/2012). Sie erhofft sich durch einen breiten Einsatz von Cloud-Lösungen durch Unternehmen und durch den öffentlichen Sektor erhebliche volkswirtschaftliche Vorteile. Die Auslagerung von Verfahren und Daten auf externe, virtuelle Systeme im Sinne des Cloud Computing mag chancenreich sein, ist allerdings auch mit einer Vielzahl von Risiken für den Datenschutz und die Datensicherheit verbunden (siehe hierzu 24. Tätigkeitsbericht, Nr. 2.1.5). Nähere datenschutzrechtliche Anforderungen werden in einer Stellungnahme der EU-Datenschutz-Arbeitsgruppe 29 formuliert (Opinion 05/2012 on Cloud Computing, WP 196, abrufbar unter http://ec.europa.eu/justice/data-protection/article-29/ (externer Link) unter <documentation>). In dem Papier werden die - anspruchsvollen - Voraussetzungen für einen datenschutzgerechten Einsatz des Cloud Computing beschrieben. Auch die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat durch einige ihrer Arbeitskreise eine Orientierungshilfe Cloud Computing erarbeiten lassen (siehe Nr. 2.3.3).
1.3. Die Bayerische Verwaltung im Zeitalter des Social Web
Vor etwa zweiundzwanzig Jahren entwickelte Tim Berners-Lee das World Wide Web (WWW). Das System einer verteilten Informationsverwaltung im Netz wurde bald zum erfolgreichsten Internetdienst. Informationen im WWW werden seither in der Seitenbeschreibungssprache Hypertext Markup Language (HTML) auf Webservern bereitgestellt. HTML ermöglicht eine grafische Aufbereitung und Verknüpfung von Daten.
Aus datenschutzrechtlicher Sicht leidet das WWW allerdings nach wie vor unter einem Geburtsfehler: Für die Nutzer erfolgt der Zugriff auf Daten im WWW zumeist nicht anonym. Ruft ein Nutzer oder eine Nutzerin eine Webseite auf, wird aufgrund unvermeidbarer technischer Notwendigkeit zur Erbringung des Dienstes zunächst die Internetprotokoll-Adresse (IP-Adresse) übertragen, die eine Art Adresse des Rechners im Internet darstellt (siehe Nr. 2.1.1). Daneben werden aber auch regelmäßig Daten über das Betriebssystem, sowie Art und Version des verwendeten Browsers mitsamt der verwendeten Einstellungen erfasst. Die meisten Anbieter von Webseiten legen überdies Cookies oder vergleichbare Kleindateien auf den Rechnern der Nutzer ab. Jedenfalls soweit eine solche Speicherung ohne Einwilligung der betroffenen Nutzer über den Nutzungsvorgang hinaus erfolgt, steht dies nicht mit den Vorgaben des Art. 5 Abs. 3 der EU-Richtlinie 2002/58/EG im Einklang. Das Ablegen von Cookies ist gleichwohl weit verbreitet, weil sie beispielsweise bei etwaigen mehrfachen Besuchen ein und derselben Webseite Aufschluss über frühere Aufrufe geben. Beim Besuch von Webseiten hinterlassen Normalnutzer also regelmäßig Datenspuren, die zusammengetragen sehr schnell zu einem genauen Profil der Interessen und Gewohnheiten des Betroffenen führen. Insbesondere wenn sich der Nutzer gegenüber einem Anbieter, etwa einem Sozialen Netzwerk identifiziert, können entsprechende Zuordnungsmöglichkeiten zu einer nun namentlich bekannten Person entstehen.
Der Bundes- und die Ländergesetzgeber wollten jedoch solchen Datenerfassungen, die nicht zwingend für die Erbringung von Diensten erforderlich sind, Grenzen setzen. Sie regelten daher den Umgang der WWW-Dienste im Jahr 1997 mit verhältnismäßig fortschrittlichen Gesetzen (Teledienste-Datenschutzgesetz, Teledienstegesetz, Mediendienste-Staatsvertrag), die im Jahr 2007 in dem heute noch geltenden Telemediengesetz (TMG) gebündelt worden sind. Vereinfacht ausgedrückt sieht das TMG in den §§ 7 - 10 eine beschränkte Verantwortlichkeit der Anbieter von Telemediendiensten für fremde Inhalte vor. Wie die allgemeinen Datenschutzgesetze sieht auch das TMG in § 12 ein Verbot mit Erlaubnisvorbehalt vor und statuiert den Grundsatz der Zweckbindung. Nach § 13 TMG sind Anbieter gegenüber ihren Nutzern zur Transparenz der Erhebung und Verwendung personenbezogener Daten verpflichtet. Soweit eine gesetzliche Erlaubnis zum Umgang mit personenbezogenen Daten fehlt, ist bei den Nutzern eine Einwilligung einzuholen. Sie kann zwar elektronisch erteilt werden. Allerdings muss der Anbieter dann u.a. gewährleisten, dass der Nutzer seine Erklärung auch zu einem späteren Zeitpunkt nachvollziehen kann. Werden die Nutzer an andere Dienste weitergeleitet, ist ihnen dies anzuzeigen. Im Rahmen des Zumutbaren muss ein Dienst die anonyme und pseudonyme Nutzung ermöglichen. Der Umgang mit Bestandsdaten nach § 14 TMG und Nutzungsdaten nach § 15 TMG folgt strikt dem Prinzip der Erforderlichkeit. Bei aller Kritik im Einzelnen hat das Telemediengesetz im Großen und Ganzen sachgerechte Antworten auf das WWW des 20. Jahrhunderts gegeben.
1.3.1. Soziale Netzwerke: Mehr Chancen - mehr Risiken
Ob dieses Gesetz auch noch auf die Herausforderungen des Web2.0 ("Social Web") des 21. Jahrhunderts angemessen antworten kann, ist allerdings äußerst fraglich. Im sogenannten Web2.0 wirken technische Fortentwicklungen (z.B. einfache Suche mittels wirkmächtiger Suchmaschinen, Erweiterung von Speicher- und Übertragungskapazitäten), veränderte ökonomische Rahmenbedingungen (z.B. Finanzierung der Datenverarbeitung für breite Bevölkerungsschichten) und soziokulturelle Veränderungen (Wertewandel) zusammen. Was den Umgang mit personenbezogenen Daten anbelangt, schlüpfen Nutzer in die Rolle von "produsern" (Nutzer und Datenverarbeitende). Daten werden mehr und mehr vernetzt, immer neue Angebote und Nutzungsmöglichkeiten entstehen, Datenverarbeitungsträger werden immer kleiner und leistungsfähiger, können überall und jederzeit genutzt werden - die Datenverarbeitung wird mit anderen Worten allgegenwärtig. Gerade Telemediendienste werden auf vielfache Weise miteinander verschränkt und verknüpft, ohne dass dies für die Nutzer erkennbar wäre.
Vor Allem private Betreiberunternehmen von Webangeboten pflegen auf die unbestritten großen Chancen zu verweisen. Hervorgehoben werden die Möglichkeiten zur Selbstverwirklichung, neuartige Kooperationsformen und enorme wirtschaftliche Potenziale. Überdies sei das Web2.0 auch gut für unsere Zivilgesellschaft, weil seine neuen Kommunikationsformen auch die demokratische Willensbildung befördere. Der Beweis sei unter anderem durch den arabischen Frühling erbracht worden.
Worüber weniger gern gesprochen wird, ist der Umstand, dass die Nutzung von Chancen im Social Web an eine ganze Reihe von Voraussetzungen geknüpft und überdies mit erheblichen Risiken für das Persönlichkeitsrecht der Nutzer verbunden ist. Ihnen werden unter anderem eine extrem hohe Medienkompetenz und eine extrem hohe Privatsphärenkompetenz abverlangt. Wer beispielsweise das größte Soziale Netzwerk (Facebook) nutzt, kann dabei seine Privatsphäre zwar nicht gegenüber dem Anbieter (und den hieraus entstehenden Konsequenzen), wohl aber gegenüber der Öffentlichkeit mehr oder weniger leidlich bewahren. Dazu muss man freilich bereit und fähig sein, zwischen 30 und 40 datenschutzfeindliche Voreinstellungen abzuändern. Wiederholungen dieser Prozedur können erforderlich sein, wenn Facebook wieder einmal beschließt, die Rahmenbedingungen seines Angebots zu verändern.
Das Erfordernis einer hohen Medien- und Privatsphärenkompetenz gilt nicht nur im Hinblick auf den Selbstschutz, sondern ist auch auf die Netzkultur bezogen. Über die konkreten Auswirkungen eines vorschnell richtenden Publikums habe ich bereits in meinem letzten Tätigkeitsbericht informieren müssen (siehe hierzu 24. Tätigkeitsbericht, Nr. 1.1 und Nr. 8.19).
Ein unter Anbietern ebenso unbeliebtes Thema ist die lange Liste von schwer wiegenden Datensicherheitspannen, welche die kurze Geschichte insbesondere von einigen großen Sozialen Netzwerke begleiten.
1.3.2. Was öffentliche Stellen zu beachten haben
Wenn sich öffentliche Stellen für die Nutzung Sozialer Netzwerke entscheiden, müssen sie sich weiterhin darüber im Klaren sein, dass die angebotenen Dienstleistungen ökonomiebestimmt ausgestaltet sind. Im Berichtszeitraum habe ich beispielsweise an einem Symposium zum sogenannten Litigation PR mitgewirkt. Die Veranstaltung verdeutlichte eindrucksvoll, dass die Justizbehörden gut beraten sind, bei der Recherche personenbezogener Daten der öffentlichen Berichterstattung im Allgemeinen und speziell den Ergebnissen von Suchmaschinen nicht vorbehaltlos zu vertrauen. Denn mit Geld und einem guten Reputationsmanagement lassen sich derartige Suchergebnisse ganz erheblich beeinflussen. Ganz allgemein sollte sich die öffentliche Verwaltung bei der Nutzung von Suchmaschinen immer wieder in Erinnerung zu rufen, dass die Kriterien für die Auswahl und Reihenfolge von Suchergebnissen nicht transparent sind. Mit anderen Worten darf auch soweit die Erhebung personenbezogener Daten über das WWW zulässig ist, die Richtigkeit der erhobenen Daten nicht unterstellt, sondern muss sorgfältig geprüft werden.
Im Berichtszeitraum stellte eine Vielzahl von öffentlichen Stellen an mich die Frage, wie sie im Rahmen ihrer Öffentlichkeitsarbeit eine Fanseite in einem Sozialen Netzwerk datenschutzkonform errichten könne. Das große Interesse freut mich, weil hierdurch die Sensibilität der weitaus meisten bayerischen öffentlichen Stellen deutlich wird. Zumeist beziehen sich derartige Anfragen auf die Einrichtung von Fanseiten bei Facebook oder von Profilen bei Google+. Die Unsicherheit der öffentlichen Stellen verdeutlicht zugleich ein Unbehagen bei einem Engagement bei diesen Diensten. Sowohl Facebook als auch Google+ standen wiederholt wegen datenschutzrechtlich problematischen Entscheidungen in der öffentlichen Kritik. Sie setzen die oben sehr allgemein beschriebenen Anforderungen des TMG allenfalls teilweise um (siehe Nr. 1.3). Vor diesem Hintergrund hat sich die 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 28./29.09.2011 in einer Entschließung nicht nur, aber insbesondere zu Angeboten dieser Dienste kritisch geäußert.
Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 28./29.09.2011
Datenschutz bei sozialen Netzwerken jetzt verwirklichen!
Anlässlich der aktuellen Diskussionen um den Datenschutz bei sozialen Netzwerken, wie beispielsweise Facebook, stellt die Konferenz der Datenschutzbeauftragten des Bundes und der Länder klar, dass sich die Anbieter solcher Plattformen, die auf den europäischen Markt zielen, auch dann an europäische Datenschutzstandards halten müssen, wenn sie ihren Sitz außerhalb Europas haben.
Die Konferenz stellt insbesondere fest, dass die direkte Einbindung von Social-Plugins beispielsweise von Facebook, Google+, Twitter und anderen Plattformbetreibern in die Webseiten deutscher Anbieter ohne hinreichende Information der Internet-Nutzenden und ohne Einräumung eines Wahlrechtes nicht mit deutschen und europäischen Datenschutzstandards in Einklang steht. Die aktuelle von Social-Plugin-Anbietern vorgesehene Funktionsweise ist unzulässig, wenn bereits durch den Besuch einer Webseite und auch ohne Klick auf beispielsweise den "Gefällt-mir"-Knopf eine Übermittlung von Nutzendendaten in die USA ausgelöst wird, auch wenn die Nutzenden gar nicht bei der entsprechenden Plattform registriert sind.
Die Social-Plugins sind nur ein Beispiel dafür, wie unzureichend einige große Betreiber sozialer Plattformen den Datenschutz handhaben. So verwendet Facebook mittlerweile Gesichtserkennungs-Technik, um Bilder im Internet bestimmten Personen zuzuordnen; Betroffene können sich dem nur mit erheblichem Aufwand entziehen. Sowohl Facebook als auch Google+ verlangen, dass die Nutzenden sich identifizieren, obwohl nach deutschem Recht aus guten Gründen die Möglichkeit zumindest einer pseudonymen Nutzung solcher Dienste eröffnet werden muss.
Die Datenschutzbeauftragten des Bundes und der Länder fordern daher alle öffentlichen Stellen auf, von der Nutzung von Social-Plugins abzusehen, die den geltenden Standards nicht genügen. Es kann nicht sein, dass die Bürgerinnen und Bürger, die sich auf den Seiten öffentlicher Stellen informieren wollen, mit ihren Daten dafür bezahlen. Unbeschadet der rechtlichen Verantwortung sollten die öffentlichen Stellen auf solchen Plattformen keine Profilseiten oder Fanpages einrichten.
Die Obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich haben bereits 2008 und zuletzt 2010 in Beschlüssen Anforderungen an die datenschutzkonforme Gestaltung sozialer Netzwerke formuliert. Die Konferenz der Datenschutzbeauftragten fordert die Anbieter sozialer Netzwerke auf, diese Beschlüsse umzusetzen, soweit dies noch nicht geschehen ist. In diesem Zusammenhang unterstützen die Datenschutzbeauftragten Bestrebungen zur Entwicklung von technischen Lösungen zur datenschutzkonformen Gestaltung von Webangeboten.
Bedauerlicherweise hat die Bundesregierung ihrer schon im letzten Jahr gemachten Ankündigung, gesetzgeberische Maßnahmen gegen die Profilbildung im Internet vorzuschlagen, keine Taten folgen lassen. Der bloße Verweis darauf, dass die Diensteanbieter Selbstverpflichtungen eingehen sollten, wird dem akuten Schutzbedarf der immer zahlreicher werdenden Nutzerinnen und Nutzer nicht gerecht. Die Konferenz der Datenschutzbeauftragten unterstützt den Gesetzentwurf des Bundesrates zur Änderung des Telemediengesetzes (BT-Drs. 17/6765) als einen Schritt in die richtige Richtung.
Wie Artikel 20 Absatz 3 unseres Grundgesetzes verdeutlicht, sind öffentliche Stellen in besonderer Weise an Gesetz und Recht gebunden. Sie haben daher auch im Zusammenhang mit ihrer Öffentlichkeitsarbeit eine Vorbildfunktion. Mit dieser Vorbildfunktion der öffentlichen Hand verträgt es sich im Grundsatz nicht, wenn sie durch ihr eigenes Marktverhalten Anbieter fördern, die nach Maßstäben des deutschen Datenschutzrechts wiederholt erhebliche Rechtsverstöße begangen haben. In zahlreichen Gesprächen haben sich in Deutschland ansässige Anbieter bei mir darüber beschwert, dass sie durch die Einhaltung der deutschen Datenschutzgesetze erhebliche Wettbewerbsnachteile erleiden würden.
Unabhängig davon ist vor Allem die Frage der unmittelbaren datenschutzrechtlichen Verantwortlichkeit von öffentlichen Stellen aufzuwerfen, die Fanseiten oder Profile in sozialen Netzwerken einrichten. Verschiedene Rechtsfragen hierzu sind weiterhin strittig und insbesondere gerichtlich noch nicht geklärt.
Eine Entscheidung des Landgerichts Aschaffenburg vom 19.08.2011 bestärkt allerdings meine Auffassung, dass hier eine (Mit-) Verantwortlichkeit öffentlicher Stellen auch im Hinblick auf die Einhaltung telemedienrechtlicher Vorschriften nahe liegt. Das Landgericht hat im dortigen Fall entschieden, dass die Informationspflicht nach § 5 TMG ("Impressumspflicht") auch eine GmbH trifft, wenn diese als Nutzer von Social Media einen Facebook-Account zu Marketingzwecken benutzt. § 5 TMG knüpft dabei - wie auch andere Vorschriften des TMG - an die Diensteanbietereigenschaft an.
Ich bin auch aus nachfolgenden Gründen der Auffassung, dass öffentliche Stellen eine datenschutzrechtliche Verantwortung für die Rechtmäßigkeit des Datenumgangs auf Fanseiten tragen. Zum einen ist es schließlich die öffentliche Stelle, die eine Fanseite oder ein Profil überhaupt erst einrichtet. Zum anderen hängt zwar die Gestaltung derartiger Fanseiten von bestimmten Rahmenbedingungen ab, die das jeweilige Soziale Netzwerk (z.B. Facebook oder Google+) setzt. Innerhalb dieses Rahmens bestimmen jedoch die öffentlichen Stellen selbst die Art und den Umfang der Kommunikation mit den Nutzern mit. Dabei ergibt es insofern einen erheblichen Unterschied, ob eine öffentliche Stelle eine Fanseite einrichtet, auf der sie lediglich auf eine "eigene" Webseite verweist oder ob sie auf der Fanseite die Nutzer zu Äußerungen auffordert.
Angesichts noch strittiger Rechtsfragen habe ich u.a. die Ressorts der Staatsregierung zunächst gebeten, jedenfalls keine neuen Fanseiten einzurichten, bestehende Seiten zurückhaltend auszugestalten und nicht im Besonderen zu bewerben.
Überdies gilt: Eine bayerische öffentliche Stelle, die Nutzer hier aktiv zur Kommunikation ermuntert, hält Bürgerinnen und Bürger zur Offenbarung von personenbezogenen Daten in einem rechtlich und technisch unsicheren virtuellen Umfeld an. Dies kann - je nach Ausgestaltung - auch besonders sensible Daten betreffen. Spätestens hier wird dann eine Grenze zum beanstandenswerten Datenschutzverstoß überschritten.
Empfehlenswert wäre aus meiner Sicht natürlich, von der Einrichtung von Fanseiten oder entsprechenden Profilen grundsätzlich abzusehen.
Auf immer mehr Webangeboten sind sogenannte Social Plugins wie der Like-Button ("Gefällt mir") von Facebook oder der "+1-Button" von Google zu finden. Auch bayerische öffentliche Stellen versuchen hiermit eine kostengünstige Erhöhung der Reichweite eigener Webangebote zu erreichen. Problematisch hieran ist der Umstand, dass Social Plugins oft als iFrames in die Webseiten direkt eingebunden werden. Beim Laden der Webseite (etwa www.meineverwaltung_xyz.de) wird der Browser dabei angewiesen, eine weitere Webseite von dem Sozialen Netzwerk zu laden und an der vorgesehenen Stelle innerhalb der anderen Webseite anzuzeigen. Dabei werden zumindest der Zeitpunkt des Aufrufs der Referenzwebseite und die IP-Adresse des Nutzerrechners an das Soziale Netzwerk übertragen. Dies geschieht ohne jegliche Mitwirkung der Nutzer, regelmäßig auch ohne deren Wissen.
Nach meiner Einschätzung verstößt eine solche Datenübertragung ohne Wissen der Nutzer gegen deutsches Datenschutzrecht. Für dieses Ergebnis spielt es keine Rolle, ob man die Datenübertragung rechtlich als Übermittlung personenbezogener Daten ansieht oder als eine andere Verwendung qualifiziert. Denn das Telemediengesetz (TMG) unterscheidet in den §§ 11 ff. hinsichtlich der rechtlichen Voraussetzungen nicht zwischen einer Datenübermittlung oder einer anderen Art der Weiterleitung personenbezogener Nutzerdaten.
Bei einigen Stellen habe ich mittlerweile feststellen können, dass sie diese datenschutzrechtlichen Bedenken aufgegriffen haben. Anstatt einer direkten Einbindung von Social Plugins sehen sie eine mittelbare Einbindung vor (mittels "Vorschaltbutton"). Bei dieser Variante erfolgt beim Aufruf des Webangebots keine Datenübertragung ohne Wissen und Willen der Nutzer. Sie erfolgt erst, wenn man den entsprechenden Vorschaltbutton betätigt. Die Einrichtung eines solchen Vorschaltbuttons ist zwar nur die zweitbeste Lösung: auch hier gibt es etwa im Hinblick auf eine Pflicht des Webseitenbetreibers zur Unterrichtung des Nutzers über Datenumgänge noch Ungeklärtes. Diese sogenannte Zwei-Klick-Lösung ist dennoch deutlich datenschutzfreundlicher als die gänzlich abzulehnende direkte Einbindung von Social Plugins.
Die beste Lösung wäre natürlich auch hier, ganz auf Social Plugins zu verzichten.
Eine der neueren Spezialitäten von Facebook ist die mittlerweile obligatorische Chronikfunktion TimeLine. Wohl in Anlehnungen an den gleichnamigen US-amerikanischen Science-Fiction-Roman von Michael Crichton sollen Besucherinnen und Besucher einer Fanseite alle Ereignisse von der Einrichtung der Fanseite bis zur Gegenwart nachvollziehen können. Der Soziologe und Datenschutzexperte Martin Rost hat TimeLine treffend als perfekt privat organisierte öffentliche Vorratsdatenspeicherung charakterisiert. Sie bestärkt mich in meinen erheblichen Vorbehalten gegen die Nutzung von Facebook durch öffentliche Stellen. Abgesehen von meinen grundsätzlichen Bedenken kann ich öffentlichen Stellen nur dringend empfehlen, fremde Beiträge insoweit durch entsprechende Einstellungen zuverlässig auszuschließen.
1.4. Bundesgesetzgebung
1.4.1. Bekämpfung des Rechtsextremismus
Im November 2011 wurde in der Öffentlichkeit bekannt, dass die rechtsextremistische Vereinigung "Nationalsozialistischer Untergrund (NSU)" in den Jahren 2000 bis 2007 eine ganze Reihe von Morden begangen hatte. Nach wie vor nicht abschließend geklärt ist die Frage, warum die Verbrechen erst im Jahr 2011 einem rechtsextremistischen Motiv zugeordnet werden konnten. Neben dem Bundestag hat auch der Bayerische Landtag einen NSU-Untersuchungsausschuss eingerichtet, der die vergangene Zusammenarbeit der Sicherheitsbehörden bei der Bekämpfung des gewalttätigen Rechtsextremismus auf etwaige Mängel durchleuchtet.
Eine sehr schnelle Folgerung hat der Bundesgesetzgeber mit dem Rechtsextremismus-Datei-Gesetz (RED-G) vom 20.08.2012 gezogen. Dieses Gesetz ist am 31.08.2012 in Kraft getreten (BGBl. I S. 1798) und zielt auf die Verbesserung des Informationsaustauschs zwischen Polizei und Nachrichtendiensten durch die Errichtung einer gemeinsamen Datei ab. In dieser Verbunddatei sind Personen zu erfassen, die unter den Voraussetzungen des § 2 des RED-G einen mehr oder weniger engen Bezug zum Rechtsextremismus aufweisen. Aus datenschutzrechtlicher Sicht weist das RED-G große Ähnlichkeiten mit dem Gesetz zur Errichtung einer standardisierten zentralen Antiterrordatei von Polizeibehörden und Nachrichtendiensten von Bund und Ländern auf (Antiterrordateigesetz-ATDG, vom 22.12.2006, BGBl. I S. 3409). Gegen dieses Gesetz sind erhebliche verfassungsrechtliche Bedenken erhoben worden, über die ich bereits berichtet habe (siehe hierzu 22. Tätigkeitsbericht, Nr. 5.4). Das RED-G weist gegenüber dem ATDG einige datenschutzrechtliche Verbesserungen auf, insbesondere ist der Kreis der zu erfassenden Personen enger gefasst. Die grundsätzlichen verfassungsrechtlichen Bedenken gegen die Errichtung einer bundesweiten Verbunddatei von Polizei und Nachrichtendiensten sind jedoch vergleichbar. Ob diese Bedenken durchgreifen, wird das Bundesverfassungsgericht möglicherweise schon zeitnah klären. Denn gegen das ATDG ist eine Verfassungsbeschwerde eingelegt worden, über die im November 2012 bereits mündlich verhandelt worden ist. Dabei wird das Bundesverfassungsgericht möglicherweise auch auf die heftig umstrittene Frage eingehen, ob und inwieweit das sogenannte Trennungsgebot einer Zusammenarbeit von Polizei und Nachrichtendiensten entgegensteht.
Des Weiteren gibt es aufgrund der fehlerhaften Ermittlungen im Zusammenhang mit den NSU-Verbrechen Überlegungen, die Struktur und Arbeitsweise der Polizei- und Verfassungsschutzbehörden zu reformieren. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat diesbezüglich darauf hingewiesen, dass bei einer Reform der Sicherheitsbehörden der Datenschutz jedoch nicht auf der Strecke bleiben darf.
Entschließung der 84. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 07./08.11.2012
Reform der Sicherheitsbehörden:
Der Datenschutz darf nicht auf der Strecke bleiben
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder weist Versuche zurück, vermeintlich "überzogene" Datenschutzanforderungen für das Versagen der Sicherheitsbehörden bei der Aufdeckung und Verfolgung rechtsextremistischer Terroristen verantwortlich zu machen und neue Datenverarbeitungsbefugnisse zu begründen.
Sie fordert die Bundesregierung und die Landesregierungen auf, vor einer Reform der Struktur und Arbeitsweise der Polizei- und Verfassungsschutzbehörden zunächst die Befugnisse, den Zuschnitt und die Zusammenarbeit der Verfassungsschutzbehörden vor dem Hintergrund der aufgetretenen Probleme zu evaluieren. Nur auf dieser Grundlage kann eine Diskussion über Reformen seriös geführt und ein Mehrwert für Grundrechtsschutz und Sicherheit erreicht werden.
In datenschutzrechtlicher Hinsicht geklärt werden muss insbesondere, ob die bestehenden Vorschriften in der Vergangenheit richtig angewandt, Arbeitsschwerpunkte richtig gesetzt und Ressourcen zielgerichtet verwendet worden sind. In diesem Zusammenhang ist auch zu untersuchen, ob die gesetzlichen Vorgaben den verfassungsrechtlichen Anforderungen genügen, also verhältnismäßig, hinreichend klar und bestimmt sind. Nur wenn Ursachen und Fehlentwicklungen bekannt sind, können Regierungen und Gesetzgeber die richtigen Schlüsse ziehen. Gründlichkeit geht dabei vor Schnelligkeit.
Schon jetzt haben die Sicherheitsbehörden weitreichende Befugnisse zum Informationsaustausch. Die Sicherheitsgesetze verpflichten Polizei, Nachrichtendienste und andere Behörden bereits heute zu umfassenden Datenübermittlungen. Neue Gesetze können alte Vollzugsdefizite nicht beseitigen.
Bei einer Reform der Sicherheitsbehörden sind der Grundrechtsschutz der Bürgerinnen und Bürger, das Trennungsgebot, die informationelle Gewaltenteilung im Bundesstaat und eine effiziente rechtsstaatliche Kontrolle der Nachrichtendienste zu gewährleisten. Eine effiziente Kontrolle schützt die Betroffenen und verhindert, dass Prozesse sich verselbständigen, Gesetze übersehen und Ressourcen zu Lasten der Sicherheit falsch eingesetzt werden. Nur so kann das Vertrauen in die Arbeit der Sicherheitsbehörden bewahrt und gegebenenfalls wieder hergestellt werden.
Datenschutz und Sicherheit sind kein Widerspruch. Sie müssen zusammenwirken im Interesse der Bürgerinnen und Bürger.
1.4.2. Gesetz zur Fortentwicklung des Meldewesens
Erwähnenswert sind zwei ins Stocken geratene Gesetzgebungsverfahren der Bundesregierung. Nach gegenwärtigem Sachstand wird der Entwurf eines Gesetzes zum Beschäftigtendatenschutz wohl dem Grundsatz der Diskontinuität zum Opfer fallen (siehe hierzu 24. Tätigkeitsbericht, Nr. 1.2.7).
Bessere Erfolgsaussichten hat demgegenüber das Vorhaben der Bundesregierung, ein Gesetz zur Fortentwicklung des Meldewesens (MeldFortG) auf den Weg zu bringen (was entsprechende Vorüberlegungen zur Neuordnung des Meldewesens anbelangt, siehe hierzu 23. Tätigkeitsbericht, Nr. 10.1). Der Bundestag hatte bereits am 28.06.2012 in 2. und 3. Lesung den Entwurf eines Gesetzes zur Fortentwicklung des Meldewesens (MeldFortG) angenommen. Eine öffentliche Diskussion löste dabei der Beschluss aus, einfache Melderegisterauskünfte an Werbewirtschaft und Adresshandel selbst bei erfolgtem Widerspruch der betroffenen Einwohner zuzulassen, soweit die Abfrage zur Bestätigung oder Berichtigung vorhandener Datenbestände dient. Noch der Entwurf der Bundesregierung hatte demgegenüber insoweit das Erfordernis einer Einwilligung für die Datenweitergabe durch die Meldebehörden vorgesehen. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat in einer Entschließung vom 22.08.2012 eine datenschutzkonforme Ausgestaltung des künftigen Melderechts eingefordert.
Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 22.08.2012
Melderecht datenschutzkonform gestalten!
Das vom Deutschen Bundestag am 28.06.2012 beschlossene neue Melderecht weist erhebliche datenschutzrechtliche Defizite auf. Schon die im Regierungsentwurf enthaltenen Datenschutzbestimmungen blieben zum Teil hinter dem bereits geltenden Recht zurück. Darüber hinaus wurde der Regierungsentwurf durch das Ergebnis der Ausschussberatungen des Bundestages noch einmal deutlich verschlechtert.
Bei den Meldedaten handelt es sich um Pflichtangaben, die die Bürgerinnen und Bürger gegenüber dem Staat machen müssen. Dies verpflichtet zu besonderer Sorgfalt bei der Verwendung, insbesondere wenn die Daten an Dritte weitergegeben werden sollen.
Die Datenschutzbeauftragten des Bundes und der Länder fordern daher den Bundesrat auf, dem Gesetzentwurf nicht zuzustimmen, damit im Vermittlungsverfahren die erforderlichen datenschutzgerechten Verbesserungen erfolgen können. Dabei geht es nicht nur darum, die im Deutschen Bundestag vorgenommenen Verschlechterungen des Gesetzentwurfs der Bundesregierung rückgängig zu machen, vielmehr muss das Melderecht insgesamt datenschutzkonform ausgestaltet werden. Hierfür müssen auch die Punkte aufgegriffen werden, die von den Datenschutzbeauftragten im Gesetzgebungsverfahren gefordert worden sind, aber unberücksichtigt blieben.
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hält insbesondere in den folgenden Punkten Korrekturen und Ergänzungen für erforderlich:
- Einfache Melderegisterauskünfte für Zwecke der Werbung und des Adresshandels bedürfen ausnahmslos der Einwilligung des Meldepflichtigen. Dies gilt auch für die Aktualisierung solcher Daten, über die die anfragenden Stellen bereits verfügen und die Weitergabe der Daten an Adressbuchverlage.Melderegisterauskünfte in besonderen Fällen, wie Auskünfte an Parteien zu Wahlwerbungszwecken und an Presse oder Rundfunk über Alters- und Ehejubiläen sollten im Interesse der Betroffenen ebenfalls nur mit Einwilligung der Meldepflichtigen zulässig sein.
- Der Meldepflichtige muss sonstigen einfachen Melderegisterauskünften widersprechen können. Die Übermittlung hat bei Vorliegen eines Widerspruchs zu unterbleiben, sofern der Anfragende kein rechtliches Interesse geltend machen kann.
- Die Zweckbindung der bei Melderegisterauskünften übermittelten Daten ist zu verstärken. Die im Gesetzentwurf nur für Zwecke der Werbung und des Adresshandels vorgesehene Zweckbindung muss auch auf die Verwendung für sonstige gewerbliche Zwecke erstreckt werden.
- Angesichts der Sensibilität der Daten, die im Rahmen einer erweiterten Melderegisterauskunft mitgeteilt werden, und der relativ niedrigen Voraussetzungen, die an die Glaubhaftmachung des berechtigten Interesses gestellt werden, sollte anstelle des berechtigten Interesses ein rechtliches Interesse an der Kenntnis der einzelnen Daten vom potentiellen Datenempfänger glaubhaft gemacht werden müssen.
- Die Erteilung einfacher Melderegisterauskünfte im Wege des Abrufs über das Internet oder des sonstigen automatisierten Datenabrufs sollte wie bisher nur zulässig sein, wenn die betroffene Person ihr nicht widerspricht.
- Die Hotelmeldepflicht sollte entfallen, weil es sich dabei um eine sachlich nicht zu rechtfertigende Vorratsdatenspeicherung handelt. Hotelgäste dürfen nicht schlechthin als Gefahrenquellen oder (potentielle) Straftäter angesehen und damit in ihrem Persönlichkeitsrecht verletzt werden.
- Die erst vor wenigen Jahren abgeschaffte Mitwirkungspflicht des Wohnungsgebers bei der Anmeldung des Mieters darf nicht wieder eingeführt werden. Die Verpflichtung des Meldepflichtigen, den Vermieter zu beteiligen, basiert auf einer Misstrauensvermutung gegenüber der Person des Meldepflichtigen. Der Gesetzgeber hat die damalige Abschaffung der Vermietermeldepflicht unter anderem damit begründet, dass die Erfahrungen der meldebehördlichen Praxis zeigen, dass die Zahl der Scheinmeldungen zu vernachlässigen ist. Es liegen keine Anhaltspunkte dafür vor, dass sich dies zwischenzeitlich geändert hat. Ferner steht der Aufwand hierfür - wie auch bei der Hotelmeldepflicht - außer Verhältnis zum Nutzen.
Die Forderungen der Konferenz teile ich. Was die einfache Melderegisterauskunft anbelangt, bin ich insbesondere der Auffassung, dass den Bürgerinnen und Bürgern zumindest ein generelles Recht zum Widerspruch zustehen sollte, sofern der Auskunftssuchende kein rechtliches Interesse am Erhalt der begehrten Information hat. Die generelle Widerspruchslösung hätte den Vorzug, dass sie das Persönlichkeitsrecht angemessen schützt und gleichzeitig die Meldebehörden nicht mit umfassenden Prüf- und Abwägungsaufgaben überfrachtet.
1.5. Öffentlichkeitsarbeit
In meinem letzten Tätigkeitsbericht habe ich bereits darüber informiert, dass ich eine Broschüre zum Thema "Datenschutz im Krankenhaus" herausgegeben habe. Mein Ziel war es dabei, die Bürgerinnen und Bürger auf unterhaltsame und verständliche Weise über ihre grundlegenden Datenschutzrechte im Bereich des Klinikwesens zu informieren. Der Erfolg dieser Broschüre hat mich ermutigt, das zugrundeliegende Konzept weiter zu verfolgen. Im Berichtszeitraum sind deshalb drei weitere Broschüren zu den Themen "Datenschutz im Rathaus", "Datenschutz in der Schule" und "Datenschutz bei der Polizei" entstanden, die ebenfalls binnen kurzer Zeit einen erheblichen Absatz gefunden haben.
Darüber hinaus war ich jeweils mit einem Informationsstand bei dem Tag der offenen Tür des Bayerischen Landtags und anlässlich des Tags der Deutschen Einheit am 03.10.2012 auf der Ländermeile vertreten. Die große Nachfrage durch die Bürgerinnen und Bürger ermutigt mich, auch diesen Weg der Öffentlichkeitsarbeit fortzusetzen.
Zugleich bedanke ich mich hiermit ausdrücklich bei der Landtagsverwaltung und bei allen bayerischen Stellen in der Staatsverwaltung, die mich tatkräftig bei meiner Öffentlichkeitsarbeit unterstützt haben.
1.6. Schlussbemerkung
Die nachfolgenden Kapitel geben einen Überblick über meine Beteiligung an wesentlichen, hier nicht erwähnten Gesetzgebungsverfahren und meine Praxis der Datenschutzkontrolle der bayerischen öffentlichen Stellen im Berichtszeitraum 2011/2012.