Die beratende Tätigkeit durch den TLfD bei datenschutzrechtlichen Fragen in den Behörden wird zunehmend gewünscht
Belangen hinreichend Rechnung zu tragen. Dort, wo ich aufgrund datenschutzrechtlicher Verstöße eine Beanstandung gemäß § 39 aussprechen mußte, verbunden mit einer gleichzeitigen Information der jeweiligen Aufsichtsbehörde, wurden regelmäßig die meinerseits geforderten Maßnahmen eingeleitet. In den Fällen, wo Fristversäumnisse der jeweiligen Stelle vorlagen oder eine mangelhafte Unterstützung dem entgegengebracht wurde, erfolgte durch Einschaltung und Information des jeweiligen Behördenleiters bzw. der Aufsichtsbehörde letztlich eine zufriedenstellende Beantwortung zu den erbetenen Auskünften.
Die beratende Tätigkeit durch den bei datenschutzrechtlichen Fragen in den Behörden wird zunehmend gewünscht. In diesem Zusammenhang möchte ich auch die immer besser stattfindende rechtzeitige Einbeziehung meiner Dienststelle durch die jeweilig zuständigen Fachressorts der Landesregierung in Vorbereitung von Entwürfen von Rechtsvorschriften erwähnen, die den Umgang mit personenbezogenen Daten berühren.
Im Rahmen der vorhandenen Möglichkeiten haben meine Mitarbeiter und ich zu Themen des Datenschutzes Vorträge gehalten.
Im Rahmen der Öffentlichkeitsarbeit wurden zu aktuellen Themen auf dem Gebiet des Datenschutzes Veröffentlichungen oder Rundschreiben von meiner Dienststelle herausgegeben. Zur Unterstützung der Tätigkeit der Datenschutzbeauftragten in den Behörden des Freistaats Thüringen habe ich eine Broschüre mit Empfehlungen zu Aufgaben, Befugnissen und Zuständigkeiten vom behördeninternen Datenschutzbeauftragten herausgegeben. Sowohl 1996 als auch 1997 war der mit einem Stand anläßlich des Tages der offenen Tür im Thüringer Landtag vertreten. Zahlreiche Besucher nutzten dies, Informationsmaterialien des zu erhalten und Anfragen an mich und meine Mitarbeiter zu richten.
Die Dienststelle des mit insgesamt 12 Mitarbeitern und Mitarbeiterinnen (Organigramm, Anlage 28) ist stets bemüht, alle Vorgänge möglichst kurzfristig zu bearbeiten, insbesondere, wenn es sich um Bürgeranliegen handelt. Um den wachsenden Beratungsbedarf in Datenschutz- und Datensicherheitsfragen so gut wie möglich erfüllen zu können, wird eine Personalaufstockung ins Auge zu fassen sein.
Ich werde meine diesbezüglichen Vorstellungen in absehbarer Zeit an die Abgeordneten des Thüringer Landtags herantragen.
Wie im 1. TB (2.2) ausgeführt, trägt die vereinbarte Übernahme routinemäßiger, üblicher Verwaltungstätigkeit für den durch die Landtagsverwaltung zur effektiven Verwaltungsführung bei und hat sich bewährt.
Der gemäß § 42 Abs. 1 vorgesehene Erfahrungsaustausch mit den Aufsichtsbehörden für die Datenverarbeitung nicht-öffentlicher Stellen wurde durchgeführt. Sowohl mit dem als Aufsichtsbehörde für den nicht-öffentlichen Bereich als auch mit dem TIM als der obersten Aufsichtsbehörde fand eine unkomplizierte Zusammenarbeit und Meinungsaustausch statt.
Das Datenschutzregister beim In meinem 1. TB (1.1.6, 2.1 und 2.3) habe ich bereits Ausführungen zum Datenschutzregister beim gemacht, welches ich, gemäß § 40 Abs. 7 i. V. m. § 12 zu führen habe. Auch die in diesem Zusammenhang aufgetretenen Probleme fehlender und fehlerhafter Meldungen hatte ich bereits angesprochen.
Auch für den Berichtszeitraum 1996/97 muss eingeschätzt werden, dass eine Vielzahl mängelbehafteter Meldungen wiederum eingegangen sind, welche hätten vermieden werden können, wenn die rechtlichen Bestimmungen und Veröffentlichungen meinerseits in diesem Zusammenhang angemessen Berücksichtigung gefunden hätten. Häufig aufgetretene Fehler bei eingehenden Meldungen waren beispielsweise auf dem Formblatt DSB 1:
- fehlende Dateikurzbezeichnung,
- fehlende Angabe des Datums der Meldung,
- kein Ankreuzen im jeweils vorgesehenen Kästchen, ob es sich um eine Erst-, Änderungs- oder Löschmeldung handelt,
- fehlende Beschreibung der Aufgabe, zu deren Erfüllung die Daten verarbeitet werden unter 2.d),
- fehlende oder unkonkrete Nennung der Rechtsgrundlage unter 2.e), aus der sich die Zulässigkeit der Verarbeitung der personenbezogenen Daten ergibt sowie
- fehlende Angabe der Regelfristen für die Löschung der Daten oder die Prüfung der Löschung unter 2.g) und auf dem Formblatt DSB 2
- Stempel und Unterschrift der speichernden Stelle fehlen,
- bezüglich der Darstellung des Dateiinhalts mußten Hinweise gegeben werden, diese einzelnen Datenarten untereinander aufzuführen und mit fortlaufenden Nummern zu versehen. Freitextfelder sind in der Weise näher zu erläutern, indem aufgeführt wird, welche Bemerkungen hier gespeichert werden können.
Ich messe dem Datenschutzregister nicht nur deshalb eine große Bedeutung zu, weil dessen Führung gemäß § 40 Abs. 7 als meine gesetzliche Aufgabe beschrieben steht, sondern weil es der Transparenz der öffentlichen Verwaltung dient. Es enthält alle Angaben über die automatisierte Verarbeitung personenbezogener Daten in der öffentlichen Verwaltung, die der Bürger benötigt, um seine Schutzrechte sachgerecht geltend machen zu können.
Auch für meine Tätigkeit, insbesondere im Zusammenhang mit der Vorbereitung von Kontrollen, sind die Angaben im Datenschutzregister eine wertvolle Grundlage. Anhand der Kenntnisnahme des Umfangs der automatisierten Verarbeitung personenbezogener Daten und der praktischen Durchführung können konkrete als auch allgemeingültige Schlußfolgerungen und Anregungen im Hinblick auf die Sicherstellung des Datenschutzes und der Datensicherheit gegeben werden.
Im Zuge eingehender Meldungen an mich war es auch oft so, dass Kopien von Datenschutzregistermeldungen eingingen. In das Datenschutzregister aufnahmefähig sind aber nur die Originale. Häufig war es auch der Fall, daß die Anlagen- und Verfahrensverzeichnisse gemäß § 10 an mich übersandt wurden, obwohl diese bei den öffentlichen Stellen zu führen sind, die Datenverarbeitungsanlagen und automatisierte Verfahren, mit denen personenbezogene Daten verarbeitet werden, einsetzen.
Im Zuge meiner Kontrolltätigkeit bei öffentlichen Stellen des Landes im Berichtszeitraum, die sich auf insgesamt 49 an der Zahl beliefen, mußte sowohl 1996 als auch 1997 bei mehreren öffentlichen Stellen festgestellt werden, dass eine automatisierte Verarbeitung personenbezogener Daten stattfand, obwohl keine entsprechende Datenschutzregistermeldung bei mir vorlag. Die ebenfalls in diesem Zusammenhang zumeist fehlende vorherige schriftliche Freigabe gemäß § 34 Abs. 2 wurde deshalb auch meinerseits förmlich beanstandet. Die jeweilige Freigabeentscheidung wurde meinerseits gefordert, da ansonsten die automatisierte Verarbeitung hätte eingestellt werden müssen. In der gesetzlich geforderten vorherigen schriftlichen Freigabe hinsichtlich der Datenarten und regelmäßigen Datenübermittlungen durch die Stelle, die den Datenschutz sicherzustellen hat, sehe ich nicht nur eine Formalität.
Hier geht es letztlich darum, vor dem erstmaligen Einsatz eines automatisierten Verfahrens rechtzeitig zu überprüfen, ob die vorgesehenen Datenspeicherungen und die vorgesehenen Datenübermittlungen datenschutzrechtlich zulässig sind. Die Notwendigkeit, dies so frühzeitig wie möglich durchzuführen, ergibt sich nicht zuletzt auch daraus, Fehlinvestitionen zu vermeiden, indem erforderliche Änderungen in der Regel vor der Programmierung bzw. vor dem Erwerb eines DV-Programms ausreichend berücksichtigt werden. Im Rahmen meiner Kontrolltätigkeit wurde beispielsweise auch festgestellt, dass automatisierte Verarbeitung von Personal-, Telefon- und Zeiterfassungsdaten der Mitarbeiter stattfand, ohne dass Freigabeentscheidungen vorlagen. Hier ist auch zu berücksichtigen, dass bei diesen DV-Projekten die Mitbestimmungs- und Mitwirkungsrechte des Personalrats beachtet werden.
Gemäß § 74 Abs. 3 Thüringer Personalvertretungsgesetz hat der Personalrat beispielsweise durch Abschluß von Dienstvereinbarungen mitzubestimmen über die Einführung, Anwendung, wesentliche Änderung oder Erweiterung automatisierter Datenverarbeitung personenbezogener Daten der Beschäftigten.
Für die form- und fristgerechte Abgabe der Datenschutzregistermeldung und die Beachtung der sonstigen rechtlichen Voraussetzungen einer automatisierten Verarbeitung personenbezogener Daten ist die jeweilige öffentliche Stelle verantwortlich.
Soweit von der jeweiligen obersten Landesbehörde nichts anderes zugelassen ist, ist die Meldung über die oberste Landesbehörde beim abzugeben.
Gemäß § 3 Abs. 1 Thüringer Datenschutzregisterverordnung leiten Landkreise und kreisfreie Städte die Meldungen ihrer speichernden Stellen unmittelbar, kreisangehörige Gemeinden und Städte über das Landratsamt an mich weiter. Zum Stand Dezember 1997 enthält das Datenschutzregister insgesamt 2.086 Meldungen.
Von einigen obersten Landesbehörden wie dem TIM, dem TMSG und dem TFM wurden Verwaltungsvorschriften zur Freigabe automatisierter Verfahren zur Verarbeitung personenbezogener Daten erlassen, die auch Festlegungen zur Datenschutzregistermeldung enthalten.
Als weitere Hilfestellung für die öffentlichen Stellen im Rahmen der Erstellung der jeweiligen Datenschutzregistermeldung habe ich vom TLRZ ein Programm erstellen lassen, welches die rechnergestützte Erfassung und den Druck der Formblätter ermöglicht. In dieses Erfassungssystem wurden von mir auch ausführliche Erläuterungen eingestellt, die praktische Fragen beim Ausfüllen der Meldungen beantworten helfen soll. Ich habe in einem Rundschreiben vom 12.12.1997 (Anlage 27) empfohlen, soweit die technischen Möglichkeiten in der Verwaltung vorhanden sind, das Programm für zukünftige Meldungen an mich einzusetzen. Ich gehe davon aus, dass damit die Fehlerquote bei den eingehenden Registermeldungen weiter zurückgeht.
Konferenzen und Arbeitskreise der Datenschutzbeauftragten des Bundes und der Länder
Wie im 1. TB (3.) berichtet, fanden auch wiederum im Berichtszeitraum Konferenzen der Datenschutzbeauftragten des Bundes und der Länder sowie vorbereitende Sitzungen der jeweilig zuständigen Facharbeitskreise statt. So führte 1996 für die 51. und 52. Konferenz der Hamburgische Datenschutzbeauftragte den Vorsitz. 1997 hatte den Vorsitz der Datenschutzkonferenz der Bayerische Landesdatenschutzbeauftragte inne. Es fanden 1997 neben der turnusmäßigen 53. und 54.