Zur Betreuung der Schulen beginnt das Ministerium ein eigenes ServiceZentrum einzurichten

Landtag des Saarlandes - 12. Wahlperiode - 31 In mehreren Schreiben hatte ich auf die veraltete, noch aus dem Jahre 1986 stammende „Verordnung über die Erhebung, Verarbeitung und sonstige Nutzung personenbezogener Daten in den Schulen" hingewiesen. Auch stand noch eine dringende Regelung der Verarbeitung von Schülerdaten auf privaten Rechnern der Lehrer aus, nachdem das bisherige absolute Verbot der in den Schulen und bei den Lehrern praktizierten Verfahrensweise, insbesondere bei der Erstellung von Zeugnissen, nicht Rechnung trägt. Wie verschiedene Beispiele in anderen Bundesländern zeigen, könnten aber dafür datenschutzgerechte Regelungen gefunden werden, was ich durch Übergabe einer Lösung angeregt habe.

In der Vergangenheit wurde ich mehrfach in die Beurteilung unterschiedlicher Software zur Schulverwaltung eingebunden. Meinem Vorschlag, sich möglichst auf wenige, einheitliche Produkte für die verschiedenen Schulformen zu einigen, kam das Ministerium 1999 durch Auswahl des Verfahrens Magellan für den Sekundarbereich entgegen, das ich dann ebenfalls aus datenschutzrechtlicher Sicht bewertete. Durch eine einheitliche Verfahrensanwendung in den Schulen könnte nicht nur die Schulung und Betreuung vereinfacht, sondern auch die Datenübertragung zwischen Schulen und Ministerium standardisiert und gesichert und die Übernahme der statistischen Daten wesentlich erleichtert werden. Bisher ist die generelle Einführung im Sekundarbereich noch nicht erfolgt. Für den Grundschulbereich besteht jetzt auch noch die Gefahr, dass die Auswahl des dort eingesetzten Verfahrens den jeweiligen Schulträgern überlassen wird und dann unterschiedliche Produkte zum Einsatz kommen, wodurch die durch Standardisierung erreichbaren Vorteile für die Verfahrensbetreuung und die Datennutzung durch die Schulen und das Ministerium entfallen dürften und ein mehrfacher, datenschutzrechtlicher Bewertungsbedarf erzeugt wird.

Zur Betreuung der Schulen beginnt das Ministerium ein eigenes Service-Zentrum einzurichten. Da bei dieser Betreuung auch datenschutzrechtliche Aspekte eine große Rolle spielen dürften, wäre eine Zusammenarbeit mit den dortigen Mitarbeitern sinnvoll. Außerdem gibt es verschiedene Projekte wie z. B. „Saar-Lernnetz", „Funk-Lan", „Bildungsinititative Networking", „Expertengruppe Pädagogisch-didaktische Konzepte", die sicher auch einer datenschutzgerechten Begleitung bedürfen.

Nachdem zu diesen genannten Problemen entscheidende Lösungen des Ministeriums ausstanden, habe ich der Hausspitze in einem Grundsatzpapier die offenen Punkte dargestellt. Erfreulicherweise hat sich der Staatssekretär des Ministeriums für Bildung, Kultur und Wissenschaft persönlich darum gekümmert und die Arbeiten in Gang gebracht. Eine Überarbeitung der Dienstanweisungen wurde unter Berücksichtigung der musterhaften Dienstanweisung des Rechnungshofes in Angriff genommen. Das private eMailen wurde GGO-gemäß per Amtsverfügung untersagt. Die Präsentation der Mitarbeiterdaten auf dem Bildungsserver war schon datenschutzgerecht bereinigt worden; man hatte nur versäumt, den LfD davon in Kenntnis zu setzen. Die Umsetzung der Erkenntnisse der datenschutzrechtlichen Prüfung ist in Arbeit. Die genannte Verordnung wird überarbeitet, wobei auch die Verarbeitung von Schülerdaten durch Lehrer in deren häuslichen Bereich berücksichtigt werden soll. In Verbindung mit der Entscheidung der Landkreise zur Schulverwaltungssoftware im Sekundarbereich soll auch versucht werden, eine Aufsplittung der dazu verwendeten Software im Primarbereich zu vermeiden und die Anforderungen des Ministeriums für Schulstatistiken zu integrieren. Außerdem hat das Ministerium zugesagt, bei allen Projekten mit datenschutzrechtlichem Bezug den LfD künftig rechtzeitig zu beteiligen.

Mit der Hausspitze des MBKW wurde damit mehr als nur der Grundstein für eine mustergültige Zusammenarbeit gelegt.

2.18 Projekt „Saarland 21" und Datenschutz

Unter dem Arbeitstitel „Saarland 21" plante die Landesregierung ein umfangreiches Projekt „für den mündigen Bürger", der sich über ein entsprechendes Internet-Angebot informieren und die Politik mitgestalten können soll. Leitprojekte firmierten dabei unter den Aspekten „Füreinander da sein", „Initiative übernehmen", „Courage zeigen" und „In Schwung bleiben". In die „Content-Planung" wurde ich von Anfang an einbezogen.

Dabei wurde nicht nur der Umfang der Präsentation bzw. Verarbeitung personenbezogener Daten mit mir besprochen, sondern auch die Nutzung von Gästebüchern, Foren und Chats datenschutzrechtlich geregelt und eine Datenschutzvereinbarung „OnlinePrivacy-Policy" nach meinen Wünschen integriert.

2.19 Runder Tisch D21 Saarland

Unter dem Arbeitstitel „Runder Tisch D21 Saarland" will die Landesregierung das Thema „Neue Medien im Unterricht" in einem Feldversuch in zwei Landkreisen modellhaft erproben, wobei das Saarland eine Projektfinanzierung aus der BundesInitiative D21 zur Medienausstattung an allgemeinbildenden Schulen anstrebt. Das Ministerium lädt mich zu den Sitzungen der Arbeitsgruppe ein, die auch wissenschaftlich begleitet wird. Ich werde mich an der Unterarbeitsgruppe „Datenschutz und Datensicherheit" beteiligen und dabei auch meine bisherigen Prüfergebnisse und Materialen für den Datenschutz in Schulen synergetisch einbringen.

2.20 ALIKA-Web und Sicherheit

Die Katasterverwaltung wollte mit Hilfe eines Web-basierten Abrufverfahrens für das Liegenschaftsbuch ALB ein flexibles und kostengünstiges Verfahren für die verschiedenen zugelassenen Nutzergruppen wie z. B. die öffentlich bestellten Vermessungsingenieure (ÖbVI), das Landesamt für Umweltschutz und das Landesamt für Straßenwesen realisieren. In enger Abstimmung mit meiner Dienststelle wurde das Verfahren konzipiert und schließlich, nachdem anfänglich eine SSL-Verschlüsselung vorgesehen war, ein VPN-Verschlüsselungsverfahren als Zugriffs- und Transportsicherung realisiert. Die Authentifizierung der zugriffsberechtigten Personen erfolgt über eine individuelle Benutzerkennung und ein Passwort. Die Einsatzreife des Verfahrens konnte dann bei einem ÖbVI modellhaft vorgeführt und dann das Verfahren freigegeben werden.

3 Übergreifende Themen

Saarländisches Datenschutzgesetz

Die Umsetzung der EG-Datenschutzrichtlinie in das Saarländische Datenschutzgesetz (Amtsbl. 2001, 2066) hat noch während der Amtszeit meines Vorgängers stattgefunden. Dieser hatte schon sehr frühzeitig dem Innenressort Vorschläge für eine Anpassung des Landesrechts vorgelegt und damit zahlreiche Anregungen für eine neuzeitlichere Gestaltung des Datenschutzes gegeben. Bedauerlicherweise wurde die gesetzgeberische Initiative im Wesentlichen auf die Anpassung an das EG-Recht beschränkt und damit die Chance für eine Modernisierung bislang nicht ausreichend genutzt.

Das Gesetz sieht zwar nunmehr eine verpflichtende Vorabkontrolle vor, mit der technische und organisatorische Maßnahmen vor dem erstmaligen Einsatz automatisierter Verfahren auf die damit verbundenen Gefahren für das Recht auf informationelle Selbstbestimmung untersucht werden sollen. In erster Linie ist dies eine Aufgabe des von der jeweiligen öffentlichen Stelle bestellten Datenschutzbeauftragten vor Ort. Leider ist die Verpflichtung öffentlicher Stellen, einen Datenschutzbeauftragten zu bestellen, nicht obligatorisch im Gesetz verankert worden, obwohl mehrere öffentliche Stellen einen gemeinsamen behördlichen Datenschutzbeauftragten bestellen können und es so möglich ist, den Aufwand für die Prüfung und den Einsatz ohnehin notwendiger Datenschutzmaßnahmen zu reduzieren. Auch bei meinen Kontrollen sind ­ was letztlich sogar im Interesse der im Blickpunkt stehenden öffentlichen Stelle liegen muss ­ sachkundige Ansprechpartner vonnöten. Diese haben oft nur faktisch die Rolle eines Datenschutzbeauftragten, ohne als solcher formell durch die Behördenleitung bestellt zu sein. Wünschenswert ist daher ein hoher Grad an Bestellungen von Datenschutzbeauftragten im Lande, damit öffentliche Stellen auch eine größere Sicherheit in der Umsetzung des Datenschutzrechtes erreichen.

Immer noch auf der Tagesordnung steht auch die Frage, ob die sinnvolle Zusammenlegung der Datenschutzkontrolle für den öffentlichen und den nicht-öffentlichen Bereich in Angriff genommen werden sollte.

Die Zusammenfassung der Datenschutzaufsicht bei dem Landesbeauftragten oder wie in Schleswig-Holstein in einer gemeinsamen Institution, der der Landesbeauftragte für Datenschutz vorsteht, ist ­ auch unter Berücksichtigung des Art. 28 I der Europäischen Datenschutzrichtlinie ­ sicherlich nicht in letzter Konsequenz zwingend erforderlich.

Sie wäre jedoch unter vielen Gesichtspunkten eine sinnvolle organisatorische Lösung.

Die Zusammenfassung der Aufsichtskompetenz über den öffentlichen wie über den nicht-öffentlichen Bereich entspräche einerseits dem Geist der EGDatenschutzrichtlinie und wäre andererseits auch im Hinblick auf die durch die entstehenden Synergieeffekte zu erreichende Steigerung der Effizienz in der Verwaltung außerordentlich zu begrüßen. Zumal ­ wie eine bundesweite Umfrage ergeben hat ­ die Aufsichtsbehörden der Länder personell nicht so besetzt sind, wie es die schnelle Entwicklung der Datenschutztechnologie und der damit gerade im nicht-öffentlichen Bereich vorhandene Kontrollbedarf erfordert.

Außerdem wäre die Zusammenfassung der Datenschutzaufsicht „in einer Hand" eine überaus bürgerfreundliche Lösung. Nur eine einzige ­ zudem besser als die im ministeriellen Bereich angesiedelte Aufsicht als „Ombudsmann" des Parlamentes für die Bürger bekannte ­ für alle Beschwerden zuständige Stelle wäre eine bürgerfreundliche Lösung, die im Sinne der Betroffenen die schwer einsehbaren Abgrenzungsprobleme zwischen dem öffentlichen und dem nicht-öffentlichen Sektor zur Vergangenheit macht.

Dies insbesondere auch mit Blick auf die unter dem Aspekt „Selbstdatenschutz" immer wichtiger werdende Aufgabe der „Hilfe zur Selbsthilfe", womit die Funktion des Datenschutzbeauftragten als Servicezentrum für die Bürgerinnen und Bürger gemeint ist.