Novelle des Bundesdatenschutzgesetzes
Die vom Hessischen Datenschutzbeauftragten erwähnte Prüfung der EGKommission, ob die EG-Datenschutzrichtlinie korrekt in nationales Recht umgesetzt wurde, ist ein Standardverfahren, das stets nach Ablauf der Umsetzungsfrist für eine EG-Richtlinie durchgeführt wird. Ein Prüfungsergebnis liegt noch nicht vor. Das gilt auch hinsichtlich der damit in Zusammenhang stehenden Frage nach der organisatorischen Stellung der Aufsichtsbehörden für den Datenschutz im nicht öffentlichen Bereich. Die Landesregierung sieht - ebenso wie die Bundesregierung - in der derzeitigen Organisation des Datenschutzes im privaten Bereich keinen Verstoß gegen die EG-Richtlinie.
Zu 4. Elektronische Signatur und Verwaltungsverfahrensänderungsgesetz
Der Referentenentwurf für das Verwaltungsverfahrensänderungsgesetz wurde von den Verwaltungsverfahrensrechtsreferenten des Bundes und der Länder als Mustergesetzentwurf erarbeitet. Er hat in dem Entwurf eines Dritten Gesetzes zur Änderung verwaltungsverfahrensrechtlicher Vorschriften der Bundesregierung Eingang gefunden. Mit dem Gesetzentwurf wird das gesamte Verwaltungsverfahrensrecht des Bundes an die Entwicklungen des modernen Rechtsverkehrs angepasst. Bürger und Verwaltung sollen grundsätzlich in allen Fachgebieten und jeder Verfahrensart elektronische Kommunikationsformen gleichberechtigt neben der Schriftform und der mündlichen Form rechtswirksam verwenden können. Die Verwaltungsverfahrensgesetze des Bundes (Verwaltungsverfahrensgesetz, Sozialgesetzbuch X, Abgabenordnung) und die Fachgesetze werden deshalb für die Möglichkeit der rechtsverbindlichen elektronischen Kommunikation auf der Basis qualifizierter elektronischer Signaturen geöffnet.
Im Interesse der Einheitlichkeit der Verwaltungsverfahrensgesetze in Bund und Ländern beabsichtigen die Länder, die Änderungen des Verwaltungsverfahrensgesetzes des Bundes in ihre Verwaltungsverfahrensgesetze aufzunehmen. Aus diesem Grunde fanden auch in Hessen eine Ressortbeteiligung und eine Beteiligung des Hessischen Datenschutzbeauftragten an den Erörterungen des Mustergesetzentwurfs statt. Die vom Hessischen Datenschutzbeauftragten vorgetragenen Anregungen und Bedenken wurden dem Bundesministerium des Innern und den Verfahrensbeteiligten aus den anderen Ländern zur Kenntnis gebracht. Sie fanden weitgehend in dem Mustergesetzentwurf bzw. im Bundesratsverfahren zum Dritten Gesetz zur Änderung verwaltungsverfahrensrechtlicher Vorschriften Berücksichtigung, wie beispielsweise die Regelung über die Zustellungsfiktion, die Einwilligung des Empfängers elektronischer Dokumente und die Beglaubigung beim "Medienbruch".
Nicht aufgenommen wurde das vom Hessischen Datenschutzbeauftragten geforderte Verschlüsselungsgebot, weil sich dieses bereits aus dem Geheimhaltungsgebot des § 31 VwVfG ergibt.
Zu 5. Videoüberwachung:
Zu 5.1 Videoüberwachung auf Grundlage des § 14 Abs. 3 und 4 HSOG:
Der Darstellung des Hessischen Datenschutzbeauftragten, der Einsatz von Videoüberwachungsanlagen werde zum Teil sehr extensiv genutzt, muss entschieden widersprochen werden. Nach Auffassung der Landesregierung werden Videoüberwachungsanlagen auf Grundlage des § 14 Abs. 3 und 4 HSOG vielmehr - in Abstimmung mit dem Datenschutzbeauftragten - sehr maßvoll eingesetzt.
Im Übrigen ist zu den Ausführungen des Datenschutzbeauftragten Folgendes anzumerken:
Der Begriff "Videoschutzanlage" stellt keineswegs eine "Verharmlosung" der Überwachungseinrichtung dar, sondern umschreibt zutreffend den mit ihr angestrebten Zweck. Sie dient dem Schutz der Örtlichkeit und der Bevölkerung vor Straftaten und nicht der Ausforschung von Menschen und ihrem Verhalten.
Zu der Überwachungsanlage am Bahnhofsvorplatz in Limburg an der Lahn (Tz. 5.1.1) empfiehlt der Hessische Datenschutzbeauftragte, für die weitere Zukunft an den Einsatz von Kamerasystemen zu denken, die die Gesichter durch Raster unkenntlich machen. Die Entschlüsselung der aufgezeichneten
Klardaten solle besonders dazu berufenen Bediensteten der Gefahrenabwehrund Strafverfolgungsbehörden vorbehalten bleiben.
Bei Videoüberwachungsanlagen kann jedoch eine Rasterung nicht in Betracht gezogen werden, weil diese mit der präventiven Zielsetzung der Einrichtung unvereinbar wäre. Für die Bewertung einer Situation als gefahrenträchtig kann es nämlich gerade auf die Beobachtung des Gesichts und der Mimik der erfassten Person ankommen (z.B. suchendes Umschauen nach Opfern, Mittätern oder für den Täter mit Risiken behafteten Umständen, Verständigung mit Mittätern durch Mimik oder Zurufen). Nur durch die vollständige Aufnahme der betreffenden Personen lassen sich Gefahrenlagen angemessen beurteilen. Im Übrigen wird auf die Ausführungen zu Tz. 26.3 verwiesen.
Zu 5.2 Der Videoeinsatz zur Gefahrenabwehr hält auch bei den Hochschulen Einzug:
Die Universität Frankfurt überwacht besonders gefährdete Bereiche der Hochschule mit Hilfe von Videoanlagen, um die Sachbeschädigung und den Diebstahl von besonders wertvollen Sachgütern zu verhindern. Geeignete andere Mittel zur Verhinderung solcher Straftaten stehen nicht zur Verfügung. Die Modalitäten sind nach der neuen Rechtsvorschrift des § 14 Abs. 4 HSOG mit dem Datenschutzbeauftragten vorher abgeklärt worden. Bei einer Begehung war festgestellt worden, dass ein entsprechender Hinweis auf die laufende Videoüberwachung noch fehlt. Dies wurde unverzüglich nachgeholt, sodass entsprechende Informationen jetzt an den überwachten Türen angebracht sind.
Zu 6. Internet:
Zu 6.1 Internettestwahl in Marburg:
Die Ausführungen des Datenschutzbeauftragten sind zutreffend. Allerdings ist auf Folgendes aufmerksam zu machen:
Zu 6.1.1 Ausgestaltung der Testwahl
Der Datenschutzbeauftragte führt aus, dass eine Referenz zwischen laufender Nummer und den verschlüsselten Stimmdaten erforderlich sei, da es bis 18:00 Uhr am Wahltage noch möglich sein müsse, Stimmen für ungültig zu erklären und nicht zu zählen. Das Wahlamt teile nach Schließung der Wahllokale dem Wahlvorstand mit, welche der Stimmzettel ungültig seien; diese Stimmzettel würden dann vor Beginn der Stimmauszählung aussortiert.
Da die Internet-Testwahl entsprechend den gesetzlichen Vorgaben für die Briefwahl durchgeführt werden sollte, ist dies ungenau formuliert. Wird ein Wahlberechtigter, der bereits einen Wahlschein erhalten hat, im Wählerverzeichnis gestrichen, ist der erteilte Wahlschein für ungültig zu erklären, §§ 18 Abs. 7 Satz 1, 60 der Kommunalwahlordnung (KWO). Wahlbriefe, denen kein gültiger Wahlschein beiliegt, werden nach §§ 21a Abs. 1 Nr. 2 2. Alt., 41 Satz 1 des Hessischen Kommunalwahlgesetzes (KWG) zurückgewiesen; die Stimmen werden nicht als ungültig gezählt, sondern sie gelten als nicht abgegeben (§§ 21 Abs. 2, 41 Satz 1 KWG).
Entsprechend wird dem Wahlvorstand vom Wahlamt auch nicht mitgeteilt, welche Stimmen für ungültig erklärt worden sind, sondern es wird ihm nur ein Verzeichnis der für ungültig erklärten Wahlscheine oder die Mitteilung übergeben, dass keine Wahlscheine für ungültig erklärt worden sind, §§ 52 Abs. 2 Satz 2, 60 KWO.
Zu 6.1.2 Probleme, die vor einer Echtwahl gelöst werden müssen:
Der Datenschutzbeauftragte sieht es als eine notwendige Voraussetzung für einen Einsatz der Internet-Technologie bei Wahlen an, dass die Server in gesicherten Räumen untergebracht werden müssen, zu denen nur Wahlhelfer Zutritt haben.
Der Begriff des "Wahlhelfers" sollte im Hinblick auf den Zugriff auf die Server nicht verwendet werden. Unter dem gesetzlich nicht definierten Begriff des "Wahlhelfers" können neben den gesetzlich vorgesehenen Wahlorganen auch so genannte Hilfskräfte (vgl. § 4 Abs. 10 KWO) verstanden werden. Es ist unter
Berücksichtigung der erheblichen Bedeutung der tatsächlichen Zugriffsmöglichkeit auf die Server ausgeschlossen, dass dafür Hilfskräfte eingesetzt werden. Da ein entsprechendes Wahlorgan für diese Aufgabe derzeit nicht existiert, besteht für den Einsatz der Internet-Technologie bei Wahlen derzeit noch eine Regelungslücke.
Zu 6.2 Anonymität bzw. das Recht auf informationelle Selbstbestimmung im Internet
Die durch den Datenschutzbeauftragten dargestellten Möglichkeiten zur anonymen Nutzung des Internets sind aus technischer Sicht zutreffend.
Der Datenschutzbeauftragte weist auf die entstehenden datenschutzrechtlichen Probleme bei dienstlicher und privater Nutzung der Internetdienste EMail und www hin. Diese Problematik wurde bereits im Rahmen einer Ressortbesprechung unter Einbeziehung des Datenschutzbeauftragten diskutiert.
Ziel ist die Schaffung einer "Richtlinie zur Behandlung elektronischer Post", die als Rahmenregelung für alle Dienststellen des Landes verbindlich eingeführt werden soll. In der Besprechung wurde die Einschätzung des Datenschutzbeauftragten weitgehend geteilt. Die Diskussion ist aber noch nicht abgeschlossen. Die geforderte Einrichtung von gesonderten Postfächern für Funktionsträger (z.B. Personalrat, Suchtbeauftragte), die in den Dienststellen eine besondere Vertrauensstellung genießen, wird als unproblematisch erachtet.
Die Verabschiedung der Richtlinie ist noch für dieses Jahr vorgesehen.
Zu 7. Justiz:
Zu 7.1 Insolvenzveröffentlichungen im Internet:
Die Verordnung, auf die sich die Ausführungen des Datenschutzbeauftragten beziehen, ist von der Bundesministerin der Justiz inzwischen erlassen worden und in Kraft getreten (Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet vom 12. Februar 2002, BGBl. I. S. 677).
Der Forderung des Datenschutzbeauftragten, die Zulassung von öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet mit den notwendigen datenschutzrechtlichen Rahmenregelungen zu verbinden, kann grundsätzlich zugestimmt werden. Die Bundesministerin der Justiz hat dazu bereits in der Begründung des Verordnungsentwurfs ausgeführt: "Allerdings sind mit der gesteigerten Publizität des neuen Informations- und Kommunikationssystems auch Gefahren für die Schuldner verbunden. Deshalb muss gewährleistet sein, dass die in das Internet eingestellten Daten auch tatsächlich von den Gerichten stammen, den Lauf des Verfahrens getreu abbilden und möglichst nicht von Internetnutzern elektronisch kopiert werden können. Die Landesjustizverwaltungen haben dies durch geeignete Vorkehrungen sicherzustellen."
Die erforderlichen Vorkehrungen zum Datenschutz spielten deshalb im Rechtssetzungsverfahren, insbesondere auch in den Ausschüssen des Bundesrates, eine wichtige Rolle. Die Verordnung sieht nunmehr vor:
- Es muss sichergestellt sein, dass die Daten bei der elektronischen Übermittlung von dem Insolvenzgericht oder dem Insolvenzverwalter an die für die Veröffentlichung zuständige Stelle elektronisch signiert werden (§ 2 Abs. 1 S. 1 Nr. 1 der Verordnung).
- Nach dem Stand der Technik ist dafür Sorge zu tragen, dass die genannten Daten durch Dritte elektronisch nicht kopiert werden können (§ 2 Abs. 1 S. 3 der Verordnung).
- Die im Internet erfolgte Veröffentlichung von Daten aus einem Insolvenzverfahren einschließlich des Eröffungsverfahrens wird spätestens einen Monat nach der Aufhebung oder Rechtskraft der Einstellung des Insolvenzverfahrens gelöscht (§ 3 Abs. 1 S. 1 der Verordnung).
Damit ist in der nunmehr in Kraft getretenen Verordnung den Vorschlägen des Datenschutzbeauftragten weitestgehend Rechnung getragen.