Arbeitgeber
Dem unter Punkt 6.2 erhobenen Vorwurf des Hessischen Datenschutzbeauftragten, dass in der Justizvollzugsanstalt Butzbach Weihnachtspaketmarken mit dem Aufdruck Justizvollzugsanstalt ausgehändigt wurden und somit für Außenstehende ersichtlich war, dass der Empfänger in einer Anstalt einsitzt, wurde abgeholfen. Die Anstalt wurde angewiesen, künftig neutrale Paketmarken zu verwenden.
Zu 6.3
Staatsanwaltschaften - Das Verfahren MESTA
Die Hessische Landesregierung teilt die Auffassung des Hessischen Datenschutzbeauftragten, dass es dringend einer gesetzlichen Regelung der Datenverarbeitung im Strafverfahren bedarf. Grundlage ist der Regierungsentwurf eines Strafverfahrensänderungsgesetzes 1999, der - nachdem der Bundesrat bereits Stellung genommen hat - hoffentlich in Kürze dem Deutschen Bundestag zur Verabschiedung zugeleitet wird.
Gegen den gleichsam hilfsweise unterbreiteten Vorschlag einer landesgesetzlichen Lösung bestehen hingegen - auch wenn es hierzu mittlerweile Vorbilder in Schleswig-Holstein und in Berlin gibt - nicht unerhebliche verfassungsrechtliche Bedenken im Hinblick auf die Regelungskompetenz des Landesgesetzgebers.
Gegenstand der Diskussion ist die Zulässigkeit der Nutzung von verfahrensübergreifenden Verfahren bei der Strafverfolgung, die sowohl als reines Aktenverwaltungsinstrument (so genannte Vorgangsverwaltung), als auch als Hilfsmittel der staatsanwaltschaftlichen Ermittlungen im Anlassverfahren und in künftigen Verfahren eingesetzt werden. Gerade bei dem im Tätigkeitsbericht angesprochenen Datenaustausch dürfte der Ermittlungszweck im Vordergrund stehen. Damit aber ist unmittelbar das Strafverfahren selbst betroffen, welches Gegenstand der konkurrierenden Gesetzgebung des Bundes ist. Eine landesrechtliche Regelungskompetenz ergibt sich daher nur solange und soweit der Bund von seinem Gesetzgebungsrecht keinen Gebrauch gemacht hat. Unter Hinweis auf § 6 EGStPO ist aber anzunehmen, dass der Bund die Ermittlungstätigkeit der Staatsanwaltschaft abschließend geregelt hat.
Dem kann auch nicht entgegengehalten werden, dass die Probleme des Datenschutzes, wie sie sich nach dem Volkszählungsurteil auch für das Strafverfahren stellen, bei Verabschiedung des § 6 EGStPO noch nicht bekannt gewesen seien. Auch wenn der Umgang mit personenbezogenen Daten explizit in der Strafprozessordnung nur vereinzelt thematisiert wird, so betrifft dies nicht einen anderen, erweiterten oder neu hinzugekommenen Bereich staatsanwaltlichen oder richterlichen Handelns, sondern vielmehr den Kernbereich des Strafverfahrens selbst, das ja vor allem in der Erhebung und weiteren Verarbeitung personenbezogener Daten besteht. Wenn daher in Folge der Rechtsprechung des Bundesverfassungsgerichts Defizite datenschutzrechtlicher Art festgestellt werden, so können diese nur als Lücken oder aber Fehlentwicklungen in einem insgesamt geschlossenen Regelwerk verstanden werden. Daraus ergibt sich, dass sich der Landesgesetzgeber auch hinsichtlich der zentralen Namenskarteien der Staatsanwaltschaft insoweit jeglicher Kodifikation enthalten muss, wenn diese das Strafverfahren selbst und damit den Ermittlungszweck betrifft.
Soweit der Hessische Datenschutzbeauftragte beanstandet, dass sowohl ein Konzept für die Nutzungsbefugnisse wie auch eine Festlegung zum Umfang der Protokollierung noch nicht vorliegt, kann dem grundsätzlich nicht widersprochen werden. Dies ist auch während der Testphase, in der die Systemstabilität, die Effektivität der Abläufe und die Notwendigkeit der Zugriffs- und Kontrollrechte erst erprobt oder festgestellt werden müssen, notwendig. Bis zu deren Abschluss - derzeit wird noch in Gießen und Wetzlar getestet - wird dies auch noch weiter konkretisiert werden. Erst dann werden sowohl die Nutzungsrechte landeseinheitlich für alle Staatsanwaltschaften ebenso festgelegt wie die Umfang der elektronischen Protokollierung. Dies wird zu gegebener Zeit mit dem Hessischen Datenschutzbeauftragten abgestimmt.
Zu 11
Ausländer
Zu 11.3
Medizinische Daten in Ausländerakten
Der Hessische Datenschutzbeauftragte hat sich bei einer Ausländerbehörde darüber informiert, ob und in welcher Weise medizinische Unterlagen in den Akten aufbewahrt werden. Er hat dabei festgestellt, dass sich in Einzelfällen, in denen der Nachweis einer Erkrankung für die ausländerrechtliche Entscheidung von Bedeutung ist, psychiatrische oder psychotherapeutische Gutachten und ärztliche Atteste, die vom Betroffenen selbst oder dessen Arzt vorgelegt wurden, offen in den Akten befinden. Die in diesen Unterlagen enthaltenen Angaben sind aus datenschutzrechtlicher Sicht besonders zu schützen. Der Hessische Datenschutzbeauftragte hat deshalb vorgeschlagen, ärztliche Gutachten und Atteste in verschlossenen Umschlägen in der Akte aufzubewahren und ggf. Einsichtnahmen zu dokumentieren.
Das Hessische Ministerium des Innern ist mit diesem Vorschlag einverstanden und weist die Ausländerbehörden auf das vorgeschlagene Verfahren hin.
Zu 11.6
Inaktuelle Ausschreibungen in polizeilichen Fahndungsdateien
Die Beschwerde eines als asylberechtigt anerkannten libanesischen Staatsangehörigen war für den Hessischen Datenschutzbeauftragten Anlass, zwei Ausländerbehörden im Hinblick auf die von ihnen vorgenommenen Ausschreibungen zur Festnahme im polizeilichen Informationssystem zu überprüfen. Der Betroffene war 1991 abgeschoben und deshalb zur Festnahme im Bundesgebiet ausgeschrieben worden. Nach Wiedereinreise und Durchführung eines neuen Asylverfahrens wurde er 1996 als Asylberechtigter anerkannt und erhielt eine Aufenthaltserlaubnis. Die notwendige Löschung der Ausschreibung zur Festnahme ist allerdings unterblieben. Der Betroffene wurde deshalb in der Folgezeit zweimal zu Unrecht festgenommen. Bei der Überprüfung der beiden Ausländerbehörden anhand von stichprobenhaft ausgewählten Ausschreibungsfällen gelangte der Hessische Datenschutzbeauftragte zu dem Ergebnis, dass auch in anderen Fällen nicht mehr zutreffende Ausschreibungen bestanden.
Der Hessische Datenschutzbeauftragte fordert, in allen Ausländerbehörden den Bestand an Fahndungsausschreibungen auf ihre Aktualität hin zu überprüfen und ein Verfahren zu schaffen, das künftig inaktuelle Fahndungsausschreibungen ausschließt.
Zur Erörterung der Prüfungsergebnisse und der sich daraus ergebenden Forderungen fand ein Gespräch zwischen Vertretern des Hessischen Datenschutzbeauftragten und des Hessischen Ministeriums des Innern statt, bei dem ein weit gehendes Einvernehmen erzielt wurde.
Für die Überprüfung der rund 45.000 bestehenden Ausschreibungen sucht das Hessische Ministerium des Innern unter Beteiligung nachgeordneter Behörden nach einem geeigneten Verfahren, das allen Ausländerbehörden die Durchführung unter Aufrechterhaltung des regulären Dienstbetriebs und insbesondere des Publikumsverkehrs gestattet. Aufgrund der Unterschiede bei der vorhandenen technischen Ausstattung und der Zahl der Ausschreibungen ist die Überprüfung bei den einzelnen Ausländerbehörden mit sehr stark schwankendem, teilweise erheblichem Arbeitsaufwand verbunden.
Das Ausschreibungsverfahren soll durch einen Erlass an die Ausländerbehörden neu geregelt werden. Den Ausländerbehörden soll künftig die Kontrolle möglich sein, ob eine in Auftrag gegebene Löschung einer Fahndungsausschreibung tatsächlich ausgeführt wurde und bei einem Wechsel der zuständigen Ausländerbehörde soll sofort erkennbar sein, ob in einem Fall eine Ausschreibung besteht. Da außerdem beabsichtigt ist, die unterschiedlichen Verfahren für die Ausschreibung im polizeilichen Informationssystem, im Ausländerzentralregister und im Schengener-Informationssystem wegen des Sachzusammenhangs in einem Erlass zusammenzufassen, um dadurch die Anwendung der Rechtsvorschriften für die Ausländerbehörden zu erleichtern, erfordert die Erlassvorbereitung noch einige Zeit. Nach Abschluss der Beteiligung nachgeordneter Behörden wird der Entwurf des Erlasses vor der Herausgabe mit dem Hessischen Datenschutzbeauftragten abgestimmt werden.
Zu 13
Landwirtschaft
Zu 13.2
Errichtung eines Herkunftssicherungsund Informationssystems für Tiere
Zu 13.2.2
Datenschutzrechtliche Defizite der Vereinbarung
Die im Tätigkeitsbericht angesprochene Beleihung wird in Kürze durch das Hessische Sozialministerium erfolgen, das den Hessischen Datenschutzbeauftragten zur Wahrung der datenschutzrechtlichen Belange beteiligen wird.
Zu 15
Personalwesen
Zu 15.1
Kontrollrecht des behördlichen Datenschutzbeauftragten
Die Meinung des Hessischen Datenschutzbeauftragten, dass der behördliche Datenschutzbeauftragte nicht für die Datenverarbeitung des Personalrats zuständig sei, weil eine in diesem Sinn vom Bundesarbeitsgericht (Beschluss vom 11. November 1997 - 1 ABR 21/97 - NJW 1998, 2466) getroffene Entscheidung im Wesentlichen auf den öffentlichen Bereich übertragbar sei, trifft zumindest nach In-Kraft-Treten des neuen Hessischen Datenschutzgesetzes nicht mehr zu.
Das BAG war aufgrund der Regelungen des Bundesdatenschutzgesetzes und des Betriebsverfassungsgesetzes zu dem Ergebnis gekommen, dass der betriebliche Datenschutzbeauftragte der Arbeitgeberseite zuzurechnen sei. Eine Unterwerfung des Betriebsrates unter die Kontrollbefugnisse des betrieblichen Datenschutzbeauftragten sei deshalb unzulässig, weil "damit einem Vertreter der Arbeitgeberseite Zugang zu grundsätzlich allen Dateien des Betriebsrates eröffnet würde, ohne Rücksicht darauf, ob sie personenbezogene Daten enthalten oder nicht". Diese Argumentation trifft auf die Rechtslage für den öffentlichen Bereich in Hessen nicht zu. Zunächst ist der behördliche Datenschutzbeauftragte nicht der Arbeitgeberseite zuzurechnen. Der Gesetzgeber hat ihn bewusst mit einer weit reichenden Unabhängigkeit ausgestattet.
In der Begründung des Gesetzentwurfs (LT-Drucks. 14/3830 S. 16) ist zu seiner Stellung, die vom Landtag nicht verändert wurde, festgestellt, dass er ein "Bindeglied" zwischen dem Hessischen Datenschutzbeauftragten und der Behörde darstellt, um die zentrale Kontrolle durch eine dezentrale vor Ort zu ergänzen.
Bei seiner Kontrolltätigkeit darf der behördliche Datenschutzbeauftragte personenbezogene Daten nach § 11 HDSG nur in dem Umfang zur Kenntnis nehmen, wie es zu seiner Aufgabenerfüllung unbedingt erforderlich ist. Darunter fallen sämtliche Erkenntnisse, die er über die Tätigkeit des Personalrats gewinnt. Auch die Tatsachen, dass der Personalrat ein bestimmtes Personalinformationsverfahren verwendet, ist ein personenbezogenes Datum des einzelnen Personalratsmitglieds, denn es enthält die Aussage, dass es sich bei seinen Entscheidungen auf dieses System stützen kann.
Eine Preisgabe dieser Daten ist dem behördlichen Datenschutzbeauftragten nach § 9 HDSG ausdrücklich verboten, weil es sich um eine unzulässige Zweckänderung handeln würde. Diese Verschwiegenheitspflicht gilt auch gegenüber den Vorgesetzten. Die in § 70 HBG festgelegte Pflicht des Beamten, seine Vorgesetzten zu beraten und deren Anweisung auf Preisgabe seiner Erkenntnisse Folge zu leisten, gilt nach Satz 3 nicht für Beamte, die nach besonderer gesetzlicher Vorschrift an Weisungen nicht gebunden sind. Der Gesetzgeber hat nicht zuletzt deshalb in § 5 Abs. 1 Satz 4 HDSG ausdrücklich festgestellt, dass der behördliche Datenschutzbeauftragte bei seiner Tätigkeit frei von Weisungen ist. Dies gilt erst Recht für Angestellte, deren Treuepflicht nicht so ausdrücklich geregelt ist, wie in § 70 HBG.
Im Übrigen wäre selbst nach Auffassung des BAG "eine Kontrolle durch den betrieblichen Datenschutzbeauftragten wohl dann unbedenklich, wenn er
- etwa aufgrund entsprechender Mitbestimmungsrechte des Betriebsrats bei seiner Bestellung und Abberufung - des Vertrauens beider Seiten in gleicher
Weise bedürfte und unabhängig vom Arbeitgeber über eigene Handlungsmöglichkeiten verfügte". Beides ist nach der Rechtslage in Hessen der Fall. Der Personalrat hat nach § 74 Abs. 1 Nr. 3 HPVG ein Mitbestimmungsrecht bei der Bestellung und Abberufung des behördlichen Datenschutzbeauftragten, der zum Beispiel bei der Mitwirkung an der Vorabkontrolle nach § 7 Abs. 6 HDSG über eigene Handlungsmöglichkeiten verfügt, die nicht der Weisung des Dienstherrn unterliegen.
Schließlich wird auch aus dem Gesamtgefüge der aufeinander abgestimmten gesetzlichen Regelungen deutlich, dass der Personalrat nicht von der Kontrolle durch den behördlichen Datenschutzbeauftragten ausgenommen werden soll.
Der Personalrat ist Teil der Daten verarbeitenden Stelle nach § 2 Abs. 3 HDSG, die nach § 3 Abs. 1 Satz 1 HDSG einen behördlichen Datenschutzbeauftragten zu bestellen hat. Eine Ausnahme für den Personalrat sieht das Gesetz bewusst nicht vor. Sie hätte unter anderem zur Folge, dass der Personalrat seine Verfahrensverzeichnisse nach § 6 aufgrund von Art. 18 der EGDatenschutzrichtlinie dem Hessischen Datenschutzbeauftragten für ein zentrales Register melden müsste, was der Gesetzgeber im Einvernehmen mit dem Hessischen Datenschutzbeauftragten ausdrücklich abgeschafft hat.
Wiesbaden, 24. August 1999
Der Hessische Ministerpräsident.