Hochschule

In diesen Zusammenhang gehört auch die Forderung, von Verfahren der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der dadurch entstehende Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck dieser Maßnahmen steht.

3. Behördlicher Datenschutzbeauftragter

Der Gesetzentwurf stärkt die Stellung des behördlichen Datenschutzbeauftragten und konkretisiert seine Aufgaben. Dies wird von der EU-Richtlinie gefordert. Nach ihren Regelungen genügt es nicht, einen Datenschutzbeauftragten lediglich formal zu bestellen, er muss vielmehr seine Aufgabe auch effektiv wahrnehmen. Unterlässt er dies, greift nach der Richtlinie die Meldepflicht für automatisierte Dateien, die durch die Bestellung von Datenschutzbeauftragten gerade vermieden werden soll (vgl. hierzu XIV. TB 6.2.4), wieder ein. Zur sachgerechten Aufgabenwahrnehmung ist es deshalb aus meiner Sicht erforderlich, dass ein behördlicher Datenschutzbeauftragter im erforderlichen Umfang von anderen Aufgaben freigestellt wird.

Auch Klagen aus der Praxis, insbesondere aus dem Hochschulbereich, dass die zur Aufgabenerfüllung nötige Zeit nicht zur Verfügung stehe, bestärkt mich in der Forderung, eine ausreichende Freistellung gesetzlich festzulegen.

Einwände, die auf die hierdurch entstehenden Kosten oder auf angebliche Fehlentwicklungen bei der Freistellung für Personalratsarbeit hinweisen, überzeugen mich in diesem Zusammenhang nicht. Der Datenschutzbeauftragte handelt für seine Behörde. Datenschutzprobleme, die er aufarbeitet, würden selbstverständlich auch dann auftreten, wenn sich kein Datenschutzbeauftragter ihrer annähme, sie müssten dann in anderen Organisationseinheiten geklärt werden. Mit einem Mitglied der Personalvertretung ist der Datenschutzbeauftragte nicht vergleichbar. Anders als die Personalvertretung hat er die gesetzliche Aufgabe, seine Dienststelle zu unterstützen. Er arbeitet mit ihr zusammen an der Erledigung einer gemeinsamen Aufgabe. Aus diesem Aufgabenverständnis ergibt sich, dass auch die Behörde, die den Datenschutzbeauftragten bestellt hat, ihn wiederum bei seiner Aufgabenwahrnehmung unterstützen muss. Sie muss ihn insbesondere über ihre Vorhaben der automatisierten Datenverarbeitung unterrichten, damit er seinem Beratungsauftrag nachkommen kann. Die Unterstützungs- sowie die Unterrichtungspflicht sollten gesetzlich geregelt werden.

4. Datenschutzkontrolle der Personalvertretung

Schließlich ist eine Regelung zur Kontrollbefugnis gegenüber der Personalvertretung notwendig. Das Bundesarbeitsgericht hat mit Beschluss vom 11. November 1997 - 1 ABR 21/97 - NJW 1998, 2466 - entschieden, dass der Betriebsrat nicht der Kontrolle durch betriebliche Datenschutzbeauftragte unterliegt. Ein solches Kontrollrecht müsse gesetzlich ausdrücklich geregelt werden. Für den Bereich der Personalvertretung ist die Frage bislang nicht höchstrichterlich geklärt. Ich habe dazu in meinem XII. Tätigkeitsbericht (15.3) die Auffassung vertreten, dass eine Kontrolle durch behördliche Datenschutzbeauftragte (nur) in Betracht kommt, soweit sie die eigenständige Aufgabenstellung der Personalvertretung unberührt lässt. Überträgt man die Grundsätze der BAG-Entscheidung auf den Personalrat, so kann an dieser Einschätzung nicht länger festgehalten werden. Eine gesetzliche Regelung ist deshalb geboten.

5. Verarbeitung besonders sensibler Daten Art. 8 der EU-Datenschutzrichtlinie untersagt die Verarbeitung von Daten über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit oder Sexualleben. Von dem grundsätzlichen Verbot werden jedoch zahlreiche Ausnahmen zugelassen.

Das Innenministerium geht in Übereinstimmung mit der Richtlinie zutreffend davon aus, dass schon nach der geltenden Rechtslage die Verarbeitung dieser Daten nicht auf die allgemeinen Vorschriften des NDSG gestützt werden kann, sondern bereichsspezifische Befugnisnormen erfordert. Solche fehlen in Niedersachsen im Gesundheitsbereich. Für die Rechtsanwender ist aus dem Wortlaut des NDSG nicht erkennbar, dass es für die Verarbeitung dieser Daten einer besonderen Rechtsgrundlage bedarf. Ich habe deshalb eine klarstellende Regelung gefordert. Hierfür sieht das Innenministerium jedoch keine rechtliche Notwendigkeit.

Für den Fall einer Einwilligung in die Verarbeitung der genannten Daten verlangt Art. 8 der Richtlinie eine „ausdrückliche" Einwilligung. Während im Übrigen eine Einwilligung je nach den Umständen auch konkludent erfolgen kann, reicht dies bezüglich der hier in Rede stehenden Daten nicht aus. Eine entsprechende Regelung im NDSG ist deshalb unerlässlich.

6. Landesbeauftragter für den Datenschutz

Mit Wirkung vom 1. Februar 1992 hat die Landesregierung den LfD zur Aufsichtsbehörde im nichtöffentlichen Bereich bestimmt. Anders als bei der Aufgabenwahrnehmung im öffentlichen Bereich unterliegt der LfD nach § 22 Abs. 6 Satz 2 NDSG als Aufsichtsbehörde der Fachaufsicht der Landesregierung. Diese Regelung ist mit der EU-Datenschutzrichtlinie nicht vereinbar. Art. 28 der Richtlinie verlangt, dass die Kontrollstellen, die die Regelungen zur Umsetzung der Richtlinie zu überwachen haben, ihre Aufgaben „in völliger Unabhängigkeit" wahrnehmen. In den Erwägungsgründen zur Richtlinie wird diese Unabhängigkeit als wesentliches Element der Datenschutzaufsicht bezeichnet. Eine Bindung der Aufsichtsbehörde an Weisungen vorgesetzter Stellen sowie eine Einflussnahme auf ihre Meinungsbildung und ihr Handeln nach außen sind damit unzulässig. Ich habe deshalb verlangt, anstelle der bisherigen Fachaufsicht eine Rechtsaufsicht vorzusehen.

Das Innenministerium, das zurzeit oberste Aufsichtsbehörde für den nichtöffentlichen Bereich ist, lehnt eine solche Rechtsänderung ab. Es versteht die von der Richtlinie geforderte Unabhängigkeit der Aufsichtsbehörde in der Weise, dass damit nur eine Unabhängigkeit von den zu kontrollierenden nichtöffentlichen Stellen gemeint sei. Zum Teil wird diese Auffassung auch von anderen Bundesländern vertreten. Ebenso wie Niedersachsen verweisen sie darauf, dass diese Auffassung von Länderseite bereits im Verfahren zur Erarbeitung der Richtlinie vorgetragen worden sei. Demgegenüber ist hervorzuheben, dass Kommission und Rat diese Position gerade nicht übernommen, vielmehr durch die Verstärkung der Formulierung („in völliger Unabhängigkeit") deutlich gemacht haben, dass eine bloße Unabhängigkeit von der zu kontrollierenden Stelle nicht ausreichen soll.

Bislang haben - außer Niedersachsen - fünf Bundesländer die Datenschutzaufsicht im nichtöffentlichen Bereich den Landesbeauftragten für den Datenschutz übertragen. Soweit dies geschehen ist, findet jedoch eine Fachaufsicht nicht statt.

Störend auf die Aufgabenwahrnehmung wirkt sich im Übrigen die derzeitige Teilung der Zuständigkeiten im nichtöffentlichen Bereich zwischen dem Innenministerium und mir aus. Wie schon dargestellt ist nach der derzeitigen Konstruktion der LfD Aufsichtsbehörde und das Innenministerium oberste Aufsichtsbehörde. Von der rechtlich problematischen Frage der Fachaufsicht abgesehen, führt diese Aufteilung in der praktischen Arbeit zu Erschwernis sen und Doppelarbeit und zieht einen erheblichen Abstimmungsaufwand nach sich (z. B. bei Anfragen anderer Aufsichtsbehörden). Viele Fragen der praktischen Aufsichtstätigkeit und aktuelle datenschutzrechtliche Probleme aus dem nichtöffentlichen Bereich werden zwischen den Ländern im so genannten Düsseldorfer Kreis erörtert und abgestimmt, in dem das Innenministerium Sitz und Stimme hat, nicht aber der LfD. Zur Vorbereitung der Sitzungen wie in deren Nachbereitung sind daher umfangreiche gegenseitige Unterrichtungen und Zuarbeiten zwischen Innenministerium und meiner Geschäftsstelle erforderlich. Umzusetzen hat die Ergebnisse dann ohnehin der LfD. Eine sachgerechte Differenzierung der Aufgaben zwischen einer obersten und einer dieser nachgeordneten Aufsichtsbehörde bei der Datenschutzaufsicht im nichtöffentlichen Bereich ist praktisch kaum möglich und auch nicht vernünftig; sie folgt allein der Scheinlogik eines abstrakten Aufbauprinzips. Dass dieses Prinzip hier nicht passt, ergibt sich schon daraus, dass beide Aufsichtsinstanzen derselben Ebene angehören, nämlich der Ministerialebene. Sinnvoller wäre es, in Niedersachsen dieselbe Lösung zu wählen wie in allen anderen Ländern, in denen der LfD auch für den nichtöffentlichen Bereich zuständig ist: Dort ist nur eine Aufsichtsebene durch Übertragung der Aufgaben auf den jeweiligen LfD geschaffen worden. Die Funktion des Innenministeriums beschränkt sich dort auf die Wahrnehmung der Aufgaben einer obersten Landesbehörde, d.h. es nimmt die ministeriellen Aufgaben der Vorbereitung und Begleitung von einschlägigen Rechtsetzungsvorhaben im Lande wie - über den Bundesrat - auf Bundesebene wahr.

Ich plädiere dringend dafür, diese Aufteilung der Zuständigkeiten auch für Niedersachsen zu übernehmen. Die anstehende Novellierung des NDSG gibt dafür eine gute Gelegenheit, zumal dann auch das Problem der nach der EUDatenschutz-Richtlinie unzulässigen Fachaufsicht praktisch gelöst wäre.

Mein verändertes Aufgabenverständnis macht es notwendig, die Öffentlichkeitsarbeit erheblich zu verstärken (vgl. 4.3). Ich halte es für unerlässlich, dass sich der LfD in öffentliche Diskussionen zu Datenschutzfragen einschaltet, auf problematische Entwicklungen hinweist, Hinweise und Ratschläge zum Umgang von Behörden und privaten Stellen mit personenbezogenen Daten gibt. Das NDSG spricht die Aufklärungsfunktion bisher für den öffentlichen Bereich nur am Rande, für den nichtöffentlichen Bereich überhaupt nicht an. Ich habe deshalb eine Ergänzung des Gesetzes dahingehend gefordert, dass der LfD den Landtag und die Öffentlichkeit über wesentliche Entwicklungen des Datenschutzes im öffentlichen und nichtöffentlichen Bereich unterrichtet. Dies ist auch unter dem Gesichtspunkt angebracht, dass mit einer solchen Regelung rechtliche Probleme bei Warnungen vor konkreten Datenverarbeitungsvorhaben vermieden werden können. So hat z. B. im Verwaltungsrechtsstreit der Firma Tele-Info gegen den Bundesbeauftragten für den Datenschutz, der sich kritisch zum Vertrieb der Elektronischen Häuser- und Gebäudedatei dieser Firma (vgl. 36.1) geäußert hatte, auch die Frage zur Befugnis des BfD zu seiner Kritik eine Rolle gespielt.

Informationsfreiheit und Datenschutz zusammenführen

Bei dem Zugriff auf behördliche Informationen ging das deutsche Recht bisher von dem Prinzip der beschränkten Aktenöffentlichkeit aus, das Akteneinsichtsrechte immer nur an ein bestimmtes Verwaltungsverfahren anknüpfte. So gesteht § 29 VwVfG nur den Verfahrensbeteiligten ein Akteneinsichtsrecht zu und verlangt den Nachweis eines rechtlichen Interesses. Im Planfeststellungsverfahren wird zwar einerseits der Kreis der Einsichtsberechtigten auf alle erweitert, die ein berechtigtes Interesse darlegen können, andererseits wird aber der Einsichtsanspruch auf einen Anspruch auf ermessensfehlerfreie Entscheidung reduziert.