Förderung
Inhaltlich kritisiert der LfD den unter dem Gesichtspunkt der Deregulierung und Normensparsamkeit knapp gefassten Gesetzentwurf der Landesregierung als unzureichend und hat eine Reihe von Änderungs- und Ergänzungsvorschlägen vorgelegt. Zu den Vorschlägen des LfD ist Folgendes anzumerken:
Zu 1. Technische und organisatorische Maßnahmen
Der LfD fordert über die Regelungen des Regierungsentwurfs hinaus eine Änderung der Vorschriften zu den technischen und organisatorischen Maßnahmen. Der Arbeitskreis „Technische und organisatorische Datenschutzfragen" der Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat eine Empfehlung erarbeitet, die Sicherungsziele festschreiben soll. Nach Auffassung des LfD sollte eine entsprechende Regelung in das NDSG aufgenommen werden. Die Landesregierung steht diesem Wunsch grundsätzlich positiv gegenüber; anders als vom LfD zunächst vermutet, hat sich der Bundesgesetzgeber aber nicht zu einer Änderung der Bestimmungen im BDSG entschlossen. Diese soll erst in der zweiten Stufe, die eine völlige Neukonzeption des Bundesdatenschutzgesetzes zum Ziel hat, erfolgen. Da völlig offen ist, wie die Formulierungen im Rahmen der Novellierung des BDSG dann aussehen werden, ist es zum gegenwärtigen Zeitpunkt nicht angezeigt, in diesem Punkt das NDSG zu ändern. Dies sollte nach Auffassung der Landesregierung vielmehr zu einem Zeitpunkt erfolgen, in dem die künftigen Begrifflichkeiten des BDSG abzusehen sind. Dieser Auffassung hat sich der Innenausschuss des Landtages angeschlossen. Nach den Beratungen soll der § 9 NDSG lediglich um eine von der EG-Datenschutzrichtlinie geforderte Regelung zur Verfügbarkeit der Daten ergänzt werden.
Zu 2. Grundsatz der Datenvermeidung/Datensparsamkeit/Anonymisierung/Pseudonymisierung
Die Forderung des LfD nach einer Regelung zur Datenvermeidung und Datensparsamkeit soll im Rahmen der Beratung des Gesetzentwurfs aufgegriffen und in Form einer Ergänzung des § 7 NDSG Berücksichtigung finden.
Regelungen zur Anonymisierung und Pseudonymisierung hält die Landesregierung nicht für erforderlich. Die Tätigkeit der öffentlichen Verwaltung kann nicht gegenüber pseudonym auftretenden Bürgerinnen und Bürgern erbracht werden. Allenfalls die behördeninternen Protokolldateien könnten - mit Pseudonym versehen - Gegenstand einer solchen Regelung sein. Der Besonderheit der Protokolldateien wird aber in § 7 Abs. 4 NDSG mit einem Verbot der zweckdurchbrechenden Verarbeitung ausreichend Rechnung getragen.
Einer Definition der Anonymisierung bedarf es nicht, weil personenbezogene Daten, die durch Weglassen von Informationen anonymisiert werden und damit ihre Eigenschaft als personenbeziehbare Daten verlieren, nicht unter die Anwendung des Gesetzes fallen.
Zu 3. Behördlicher Datenschutzbeauftragter
Die Forderung des LfD, eine gesetzliche Regelung zur Freistellung der Datenschutzbeauftragten in das NDSG aufzunehmen, wird von der Landesregierung nicht unterstützt.
Besonders mit Blick auf die mittelbare Landesverwaltung, u. a. Kommunen, sollte von Regelungen Abstand genommen werden, die in die Organisationshoheit der Verwaltungsträger oder deren Organe eingreifen.
Zu 4. Datenschutzkontrolle der Personalvertretung
Die Entscheidung des BAG vom 11.11.1997 1 ABR 21/97 (NJW 1998, 2466) zur Kontrollbefugnis des betrieblichen Datenschutzbeauftragten gegenüber dem Betriebsrat ist grundsätzlich auch auf den Bereich der Personalvertretung übertragbar. Nach der Literatur wird eine unmittelbare Kontrollkompetenz des Datenschutzbeauftragten derzeit nicht gesehen. Diese Einschätzung ist vor dem Hintergrund zu sehen, dass nach Bundes recht die Bestellung des behördlichen Datenschutzbeauftragten nicht der Mitbestimmung unterliegt. Ferner ist hier die derzeitige Stellung des Datenschutzbeauftragten in Bezug genommen. Durch die Novellierung des BDSG wird die Rechtsstellung des Datenschutzbeauftragten der EG-Datenschutzrichtlinie entsprechend ausgestaltet, die eine unabhängige Überwachung der Anwendung der zur Umsetzung der Richtlinie erlassenen einzelstaatlichen Bestimmungen fordert.
Die Landesregierung hat keine Bedenken, dem behördlichen Datenschutzbeauftragten auch Kontrollbefugnisse gegenüber der Personalvertretung einzuräumen, wenn die dafür vom BAG aufgestellten Kriterien erfüllt sind. Eine wichtige Voraussetzung ist in Niedersachsen gegeben, weil nach § 67 Abs. 1 Nr. 9 NPersVG die Bestellung oder Abberufung des behördlichen Datenschutzbeauftragten der Mitbestimmung unterliegt. Die weitere Forderung des BAG, dass der Datenschutzbeauftragte in seiner Prüfkompetenz unabhängig sein muss, wird mit der Novelle des NDSG erfüllt. Danach wird generell für öffentliche Stellen eine Pflicht eingeführt, Datenschutzbeauftragte zu bestellen, die ihre Aufgaben im Sinne der EG-Datenschutzrichtlinie unabhängig wahrzunehmen haben. Die Landesregierung geht davon aus, dass zusammen mit den Bestimmungen des NPersVG damit auch die vom BAG geforderte Unabhängigkeit des prüfenden Datenschutzbeauftragten gewährleistet ist.
Damit umfasst die Kompetenz des Datenschutzbeauftragten nach dem neuen § 8a NDSG auch die Prüfung und Beratung der Personalvertretungen. Bei der Ausübung dieser Tätigkeit ist aber die besondere Stellung der Personalvertretung zu berücksichtigen. Daher hat der behördliche Datenschutzbeauftragte seine Beratung und Prüfung der Personalvertretung im Sinne des NPersVG vertraulich zu erbringen, insbesondere hierüber nicht die Dienststelle zu informieren.
Wenn der LfD darüber hinaus spezielle Bestimmungen für erforderlich hält und seinem Wunsch gefolgt werden soll, müssten diese in bereichsspezifischen Regelungen und nicht im NDSG getroffen werden. Weitergehende Gesetzesänderungen sollten aber mit Blick auf die Bestrebungen des Bundes, ein Arbeitnehmerdatenschutzgesetz zu erlassen, zurückgestellt werden.
Zu 6. Landesbeauftragter für den Datenschutz
Dem LfD ist zusätzlich zu seinen originären Aufgaben als unabhängige Kontrollstelle von Behörden und sonstigen öffentlichen Stellen die Zuständigkeit einer Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich übertragen worden. Damit hat die Landesregierung im Rahmen ihrer Organisationshoheit die in § 22 Abs. 6 Satz 1 NDSG eröffnete Möglichkeit der Aufgabenübertragung auf den LfD genutzt. Im Rahmen dieser Tätigkeit unterliegt der LfD nach § 22 Abs. 6 Satz 2 NDSG der Fach- und Rechtsaufsicht der Landesregierung. Die Befugnisse und die Stellung der Aufsichtsbehörden sind bundesgesetzlich im § 38 BDSG geregelt.
Die vom LfD vertretene Auffassung, die von der EG-Datenschutzrichtlinie geforderte „völlige Unabhängigkeit" der Kontrollstellen lasse nur die Möglichkeit zu, die Aufsichtsbehörde weisungsfrei zu stellen, teilt die Landesregierung nicht. Der Begriff „völlige Unabhängigkeit" wurde nämlich von der EG-Datenschutzrichtlinie zur Abgrenzung vom Begriff der „Unabhängigkeit" der betrieblichen Datenschutzbeauftragten verwendet, um zu verdeutlichen, dass die Kontrollstelle ihre Tätigkeit ohne jede Einflussmöglichkeit von der zu beaufsichtigenden Stelle, d. h. dem nicht-öffentlichen Bereich, wahrnehmen soll.
Dies wird vom Bundesbeauftragten für den Datenschutz (BfD) und den an den Beratungen des Entwurfs der EG-Datenschutzrichtlinie beteiligten Ländervertretern (Nordrhein Westfalen und Bayern) nach wie vor so gesehen. Unabhängig davon, dass die Auslegung des LfD nicht der Regelungsabsicht der Verfasser der EG-Datenschutzrichtlinie entspricht, stößt sie auch auf verfassungsrechtliche Bedenken, weil damit ministerialfreie Räume entstehen würden. Diese gibt es in Niedersachsen aber bislang nur für Einrichtungen, die keine Vollzugsaufgaben haben und lediglich der Kontrolle staatlicher Tätigkeit dienen (z. B. Rechnungshof und LfD als Kontrollstelle gegenüber der öffentlichen Verwaltung). Die Aufsichtsbehörden im nicht-öffentlichen Bereich haben aber Eingriffsbefugnisse gegenüber der Wirtschaft und den Bürgerinnen und Bürgern, deren Ausübung regelmäßig einer ministeriellen Verantwortlichkeit und damit verbunden einer parlamentarischen Kontrolle unterliegen müssen.
Dieser von der weit überwiegenden Zahl der Länder vertretenen Auffassung hat sich der Bund angeschlossen und die „völlige Unabhängigkeit" in § 38 BDSG als eine funktionelle und nicht als eine institutionelle Unabhängigkeit ausgestaltet. Dies wird dadurch deutlich, dass die ursprüngliche Absicht, lediglich eine Rechtsaufsicht vorzusehen, zugunsten von Regelungen zur Sicherstellung der funktionellen Unabhängigkeit aufgegeben worden ist. So trifft das zwischenzeitlich novellierte BDSG für die Aufsichtsbehörden nach § 38 BDSG eine sehr differenzierte Regelung, die auf eine funktionelle und nicht auf eine vom LfD gewünschte institutionelle Unabhängigkeit abstellt.
Unabhängig davon hält der LfD nach wie vor an seiner Forderung fest, seine Rechtsstellung als Aufsichtsbehörde für den nicht-öffentlichen Bereich dahingehend zu ändern, dass er künftig lediglich einer Rechtsaufsicht und nicht auch einer Fachaufsicht unterliegt.
Alle anderen Bundesländer außer Schleswig-Holstein und den Stadtstaaten beabsichtigen, die bisherigen Strukturen der Aufsichtsbehörden - in der Regel werden die Aufgaben von der Mittelinstanz, z. B. den Bezirksregierungen wahrgenommen - beizubehalten. Nordrhein-Westfalen hat sich zur Umsetzung der EG-Datenschutzrichtlinie im Rahmen der Novellierung des dortigen Datenschutzgesetzes dazu entschlossen, die geltende niedersächsische Regelung zu übernehmen, nach der dem LfD mit Beschluss der Landesregierung vom 17.12.1991, Nds. MBl. 1992 S. 230, die Zuständigkeit für die Überwachung des Datenschutzes nach § 38 BDSG übertragen worden ist. Die LfD in NRW untersteht damit hinsichtlich ihrer Aufgaben nach § 38 BDSG ebenfalls der Rechts- und Fachaufsicht der Landesregierung.
Sofern der LfD mit seiner Aussage, dass bei den fünf Ländern, in denen die Aufgabe der Aufsichtsbehörden nach § 38 BDSG jeweils dem/der LfD übertragen worden ist, eine Fachaufsicht nicht stattfindet, den Eindruck erwecken will, es bestünde keine Fachaufsicht, ist dies unzutreffend. Lediglich in den Ländern Berlin und Schleswig-Holstein unterliegt der LfD einer Rechtsaufsicht, wobei Schleswig-Holstein bundesweit einen Sonderweg gegangen ist und die Aufgabe einer rechtsfähigen Anstalt übertragen hat. Diese Konstruktion ist mit der Rechtslage in Niedersachsen nicht vergleichbar.
Es besteht daher keine Veranlassung, die von der Landesregierung in der Stellungnahme zum 14. Tätigkeitsbericht des LfD bereits zum Ausdruck gebrachte Auffassung zu ändern. Wegen der mit dem Vorschlag des LfD entstehenden verfassungsrechtlichen Probleme und der durch die bundesrechtlich festgelegte Forderung nach funktioneller Unabhängigkeit der Aufsichtsbehörden sollte das NDSG in diesem Punkte unverändert bleiben. Diese Auffassung hat das MI bereits mit Ministerschreiben an den Landtag zum Ausdruck gebracht, das als Vorlage 7 in die Beratung der Novellierung des NDSG eingeflossen ist.
Die Einschätzung des LfD, dass die Übertragung der Aufgaben der Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich auf seine Geschäftsstelle zu Erschwernissen und zu Doppelarbeiten führt, wird von der Landesregierung nicht geteilt. Die Einschätzung des LfD überrascht um so mehr, als bislang in den Tätigkeitsberichten des LfD immer hervorgehoben wurde, dass sich die Übertragung der Aufgaben bewährt habe. So hebt der LfD z. B. in seinem 14. Tätigkeitsbericht hervor: „Außerordentlich bewährt hat sich, dass die Landesregierung mit Beschluss vom 17. Dezember 1991 (Nds. MBl. 1992, 230) die Datenschutzkontrolle für den nichtöffentlichen Bereich dem Landesbeauftragten übertrug.