Behörden auf ihren Webseiten PGP-Schlüssel

Immerhin bieten inzwischen viele, wenn auch noch nicht alle staatlichen Behörden auf ihren Webseiten PGP-Schlüssel an. Aber auch diese von Betriebssystemen und Anwendungssoftware weitgehend unabhängige und sichere Möglichkeit zur Wahrung der Integrität und Vertraulichkeit wird im innerbehördlichen Verkehr noch nicht ausreichend genutzt.

Abschließend spreche ich das Thema der Auditierung und Zertifizierung von Produkten im Hinblick auf das Einhalten datenschutzrechtlicher Vorgaben an, kurz gesagt das Gütesiegel für datenschutzfreundliche Produkte. Dieses Verfahren, das auf sehr positive Resonanz auch seitens der Industrie gestoßen ist, wird mit Erfolg derzeit ausschließlich in Schleswig Holstein angeboten, das dafür auf Initiative meines dortigen Kollegen Dr. Helmut Bäumler die notwendigen gesetzlichen Grundlagen geschaffen hat. Dieses Verfahren hat sowohl für die Hersteller, die mit sicheren Lösungen werben können, wie für die Verwaltung, deren Prüfungen von zertifizierten Produkten vereinfacht werden, wie für die Bürgerinnen und Bürger, die auf datenschutzgerechte Verarbeitung ihrer persönlichen Informationen vermehrt vertrauen können, ausgesprochene Vorteile. Das Staatsministerium des Innern lehnt dieses Verfahren dagegen ab.

Es ist der Auffassung, dass wegen der vorhandenen Datenschutzkontrollinstanzen ein zusätzliches Audit nicht notwendig sei. Durch ein Audit würde neben der Selbstkontrolle durch behördliche und betriebliche Datenschutzbeauftragte und der Fremdkontrolle durch die Datenschutzkontrollbehörden nunmehr eine dreifache Kontrolle eingeführt werden. Dies sei auch angesichts der Kosten nicht vertretbar.

Ich spreche mich wegen der genannten Vorteile gleichwohl dafür aus, dass auch im Bund und in Bayern geprüft wird, ob die gesetzlichen Voraussetzungen für dieses zukunftsorientierte Verfahren geschaffen werden sollen.

Nationale und internationale Zusammenarbeit der Datenschutzbeauftragten

Diese Zusammenarbeit ist, wie ich auch in den früheren Tätigkeitsberichten bemerkt habe, außerordentlich wichtig. Datenverarbeitung ist länder- und in vermehrtem Maße auch staatenübergreifend. Der regelmäßige Meinungs- und Informationsaustausch ist deshalb unverzichtbar. Das gleiche gilt auch für das Festlegen gemeinsamer Positionen in Entschließungen. Wichtig ist auch das persönliche Kennen.

Diesen Zielsetzungen dienen die zweimaligen Treffen auf nationaler Ebene und die jährlichen Treffen der Europäischen Datenschutzbeauftragten sowie die einmal im Jahr stattfindende Internationale Datenschutzkonferenz, an der auch die Datenschutzbeauftragten aus dem außereuropäischen Raum teilnehmen. Ich selbst habe im Berichtszeitraum an den Konferenzen der Datenschutzbeauftragten des Bundes und der Länder sowie an zwei Europäischen Datenschutzkonferenzen teilgenommen. Weiter bin ich Leiter des Arbeitskreises Gesundheit und Soziales und mit meinem Stellvertreter Leiter des Arbeitskreises Justiz der deutschen Datenschutzkonferenz. Die Arbeitskreise tagen regelmäßig zweimal im Jahr, bereiten u.a. Konferenzentschließungen vor und stimmen sich in grundsätzlichen und neu auftretenden Fragen des Datenschutzes ab. Die Zusammenarbeit in diesen Gremien ist aus meiner Sicht sehr gut und für die Arbeit sehr förderlich.

Die Konferenzen der deutschen Datenschutzbeauftragten haben die in der Anlage wiedergegebenen Entschließungen gefasst. Hier hervorheben will ich die Entschließungen zu den Themen Modernisierung des Systems der gesetzlichen Krankenversicherung, Kennzeichnung von Daten aus besonders eingriffsintensiven Erhebungen, Erweiterung der DNAAnalyse nur mit Augenmaß, zum Gesundheitsmodernisierungsgesetz, zum Entwurf des neuen (inzwischen in Kraft getretenen) Telekommunikationsgesetzes, sowie in der heurigen Frühjahrssitzung zu den Themen Forschungsgeheimnisse für medizinische Daten, Kennzeichen-Scanning durch die Polizei, Übermittlung von Flugpassagierdaten an die USBehörden, Radio-Frequency Identification (RFID) und schließlich zu den Entscheidungen des Bundesverfassungsgerichts vom 03.03.2004 zum Großen Lauschangriff und zur präventiven Telekommunikationsüberwachung. Diese Entschließungen wurden den verantwortlichen Ministerien in Bund und Ländern jeweils übermittelt und haben, wenn auch nur zum Teil, Eingang in die weiteren Überlegungen gefunden. Die Themen der beiden Europäischen Datenschutzkonferenzen waren unter anderem Internationaler Datenverkehr und Datenschutzbeschwerden, Datenschutz in der Telekommunikation im Zusammenhang mit der Telekommunikationsrichtlinie, Datenerhebung durch US-Autoritäten im Zusammenhang mit der Bekämpfung des Internationalen Terrorismus.

3 Schlussbemerkung

Ich bin nunmehr im zehnten Jahr meiner Tätigkeit im Datenschutz. Dies hat mich veranlasst, meinen ersten Bericht über das Jahr 1994 nochmals zur Hand zu nehmen. Ein Satz aus meinen damaligen Eingangs worten ist zum Motto meiner Tätigkeit und der Datenschutzberichte geworden: Datenschutz ist Grundrechtsschutz. In diesem Sinn gehört der Datenschutzbeauftragte zu den Institutionen, denen ein Wächteramt zum Wohl der Bürgerinnen und Bürger übertragen ist. Ich sehe deshalb meine Aufgabe in erster Linie darin, für datenschutzkonforme und für datenschutzfreundliche Lösungen einzutreten. Das soll mich aber nicht daran hindern darzulegen, welche Verarbeitung personenbezogener Daten zulässig ist, wenn insoweit Zweifelsfragen bestehen. Auch dazu enthält der Tätigkeitsbericht Ausführungen.

In diesem Sinn empfehle ich die folgenden Ausführungen der Aufmerksamkeit der Bürgerinnen und Bürger und der angesprochenen Verwaltungen.

4 Allgemeines Datenschutzrecht

Freigabepflicht bei der Veröffentlichung von Mitarbeiterdaten im Internet

Der in Luxemburg hat mit Urteil vom 06.11.2003, Rechtssache C-101/01, entschieden, dass die Handlung, die darin besteht, auf einer Internetseite auf verschiedene Personen hinzuweisen und diese entweder durch ihren Namen oder auf andere Weise, etwa durch Angabe ihrer Telefonnummer oder durch Informationen über ihr Arbeitsverhältnis oder ihre Freizeitbeschäftigungen, erkennbar zu machen, eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten im Sinne von Art. 3 Abs. 1 der EG-Datenschutzrichtlinie darstellt.

Dieses grundlegende Urteil des hat auch Auswirkungen auf die datenschutzrechtliche Freigabepflicht bei der Veröffentlichung von personenbezogenen Daten im Internet.

Ich habe bisher die Auffassung vertreten, dass das Einstellen eines statischen Datenbestandes - z. B. in Form einer starren HTML-Seite - keine automatisierte Verarbeitung darstellt und damit nicht freigabepflichtig ist. Diese Auffassung halte ich angesichts des obigen Urteils nicht mehr aufrecht.

Nach Art. 26 bedarf ein automatisiertes Verfahren, mit dem personenbezogene Daten verarbeitet werden, vor dem erstmaligen Einsatz der schriftlichen Freigabe durch den behördlichen Datenschutzbeauftragten und anschließend gemäß Art. 27 der Aufnahme in das Verfahrensverzeichnis. Zur datenschutzrechtlichen Freigabe sowie zum Verfahrensverzeichnis habe ich mich bereits in meinem 20. Tätigkeitsbericht unter Nr. 17.1.6 ausführlich geäußert.

Der Gerichtshof hat zur Frage der automatisierten Verarbeitung ausgeführt, dass es zur Wiedergabe von Informationen auf einer Internetseite nach den gegenwärtig angewandten technischen und EDVVerfahren eines Hochladens dieser Seite auf einen Server sowie der erforderlichen Vorgänge bedarf, um diese Seite den mit dem Internet verbundenen Personen zugänglich zu machen. Dann hat der Gerichtshof wörtlich festgestellt: Diese Vorgänge erfolgen zumindest teilweise in automatisierter Form.

In dem vom beschriebenen Umfang bedarf deshalb das Einstellen von personenbezogenen Daten in das Internet - in der Praxis vor allem relevant in Bezug auf Mitarbeiterdaten - durch bayerische öffentliche Stellen der Freigabe durch den behördlichen Datenschutzbeauftragten gemäß Art. 26 Dies gilt auch, wenn lediglich einmalig ein fest vorgegebener Datenbestand - als so genannte starre HTML-Seite - ins Internet eingestellt wird, da das Gericht insofern keine Unterscheidung macht. Das führt damit zu einer Stärkung der Stellung der betroffenen Bürgerinnen und Bürger und mittelbar auch des behördlichen Datenschutzbeauftragten.

Eine Freigabepflicht besteht meiner Auffassung nach allerdings dann nicht, wenn eine Homepage nur solche personenbezogenen Daten enthält, die der Ersteller der Web-Site in Vollzug seiner teledienstrechtlichen Pflicht zur Anbieterkennzeichnung

- hierzu habe ich mich bereits in meinem 20. Tätigkeitsbericht unter Nr. 17.1.7 ausführlich geäußert aufgenommen hat. Da gem. § 6 TDG lediglich personenbezogene Daten des Diensteanbieters selbst aufzunehmen sind, sehe ich in einer solchen Fallgestaltung keine Gefährdung des Rechtes auf informationelle Selbstbestimmung, so dass ich auf Grund einer zweckorientierten Beschränkung des Art. 26 Abs. 1 Satz 1 keine Freigabepflicht sehe.

Die Frage der Freigabe wird sich bei öffentlicher Stellen immer häufiger stellen.

Im Rahmen des ständigen Ausbaus von werden immer häufiger auch personenbezogene Daten der wichtigsten Ansprechpartner für den Bürger (etwa Name, akademische Grade, dienstliche Anschrift, dienstliche Telefon- und Faxnummer, dienstliche E-Mail-Adresse, Aufgabenbereich) in das Internet eingestellt. In diesen Fällen greift nunmehr die Freigabepflicht gem. Art. 26 ein.

Schließlich möchte ich noch auf Folgendes hinweisen: Im Rahmen des Freigabeverfahrens, aber auch unabhängig davon, ist stets zu prüfen, ob die mit einer Einstellung in das Internet verbundene Verarbeitung von personenbezogenen Daten nach dem materiellen Datenschutzrecht inhaltlich zulässig ist.

Für den Bereich der (kommunalen) Verwaltungen habe ich mich zu dieser Frage bereits im 18. Tätigkeitsbericht unter Nr. 12.3 geäußert. Hinweise für Hochschulen finden sich unter Nr. 16.2.1 meines 20. Tätigkeitsberichts. Vorgaben für die Veröffentlichung von Daten über Lehrer-, Schüler und Elternbeiratsmitglieder im Internet sind in Nr. 15.1 des 18.

Tätigkeitsberichts und in Nr. 15.1 des 19. Tätigkeitsberichts enthalten.

Outsourcing von Verwaltungsleistungen ins Nicht-EU-Ausland

In Anbetracht der aktuellen Reformbestrebungen bin ich in letzter Zeit des öfteren mit der Frage konfrontiert worden, was bei einer Auftragsdatenverarbeitung im Nicht-EU-Ausland von bayerischen Behörden zu beachten ist.

Hierzu gebe ich aus datenschutzrechtlicher Sicht folgende Hinweise:

Bei einem Auftragnehmer aus einem Nicht-EU-Land handelt es sich gem. Art. 4 Abs. 10 Satz 1 um einen Dritten. Eine Weitergabe von personenbezogenen Daten durch bayerische öffentliche Stellen an einen Dritten stellt somit gem. Art. 4 Abs. 6 Satz 2 Nr. 3 Buchst. a) ein Übermitteln dar.

Die Datenübermittlung an Stellen im Ausland ist in Art. 21 geregelt. Gemäß den Vorgaben der EG-Datenschutzrichtlinie unterscheidet die Regelung des Art. 21 dabei danach, ob das Zielland der EU/dem EWR angehört oder ob es sich um ein sog. Drittland handelt. Nach Art. 21 Abs. 2 Satz 1 gilt für die Übermittlung personenbezogener Daten an Stellen in einem sog. Drittland grundsätzlich die Vorschrift des Art. 19 Abs. 1 und 3

In den Fällen der Auftragsdatenverarbeitung kommt in der Regel die Befugnisnorm des Art. 19 Abs. 1 Nr. 1 in Betracht. Im konkreten Einzelfall ist vom Auftraggeber sorgfältig zu prüfen, ob die Übermittlung der personenbezogenen Daten an den Auftragnehmer zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist. Ist dies der Fall, so sind die Voraussetzungen des Art. 19 Abs. 1 Nr. 1 i.V.m. Art. 17 Abs. 1 Nr. 2 erfüllt, da in den Fällen der Auftragsdatenverarbeitung keine Zweckänderung vorliegt.

Nach Art. 21 Abs. 2 Satz 1 ist für die Zulässigkeit der Übermittlung personenbezogener Daten an sog. Drittländer kumulativ erforderlich, dass das Drittland ein angemessenes Datenschutzniveau gewährleistet (vgl. Art. 21 Abs. 2 Sätze 2 bis 5

Ob dies der Fall ist, ist von der übermittelnden Behörde eigenständig zu prüfen. Diese schwierige Prüfung ist allerdings dann entbehrlich, wenn die Europäische Kommission förmlich festgestellt hat, dass ein Drittland ein angemessenes Datenschutzniveau gewährleistet (Verfahren gemäß Art. 25 Abs. 6 i.V.m. Art. 31 Abs. 2 EGDatenschutzrichtlinie). Eine solche förmliche Feststellung ist bisher beispielsweise in Bezug auf die Schweiz, Ungarn, Guernsey oder Argentinien erfolgt (eine stets aktualisierte Auflistung der Drittländer mit angemessenem Datenschutzniveau findet sich unter http://europa.eu.int/comm/internal_market/privacy/ad equacy_en.htm#countries). Allgemein möchte ich noch darauf hinweisen, dass gem. Art. 21 Abs. 3 die Verantwortung für die Zulässigkeit der Übermittlung die übermittelnde Stelle trägt. Nach Art. 6 Abs. 1 Satz 1 bleibt der Auftraggeber zudem für die Einhaltung der Vorschriften über den Datenschutz verantwortlich. Der Auftraggeber hat des weiteren die Eignung des Auftragnehmers gem. Art. 6 Abs. 2 Satz 1 streng zu prüfen und die Einhaltung der Datensicherheit beim Auftragnehmer gem. Art. 6 Abs. 2 Satz 3 zu überwachen. Bei einer Auftragsdatenverarbeitung in Drittländern sind diese Vorschriften über die Verantwortung des Auftraggebers besonders ernst zu nehmen.

Archivrechtliche Anbietungspflicht und datenschutz-/ disziplinar- und personalaktenrechtliche Löschungspflicht

Im Berichtszeitraum befasste ich mich mehrfach mit dem Verhältnis zwischen archivrechtlicher Anbietungspflicht und datenschutzrechtlicher bzw. disziplinar- und personalaktenrechtlicher Löschungspflicht.

Hier sind zwei Problemkreise zu unterscheiden: Archivrechtliche Anbietungspflicht und datenschutzrechtliche Löschungspflicht Solange ein Vorgang noch zur Aufgabenerfüllung der Behörde benötigt wird, steht die spätere archivrechtliche Anbietungspflicht einer aktuellen datenschutzrechtlichen Pflicht, ein einzelnes Datum zu löschen, nicht entgegen.