Forschung

Mir ist schleierhaft, warum eine Rechtsvorschrift überarbeitet wird, wenn deren Regelungsgehalt eindeutig ist und inhaltlich nicht geändert werden soll. Den Mitarbeiterinnen und Mitarbeitern in den Behörden, die das NDSG anzuwenden haben, dürfte sich das Geheimnis dieser Regelung kaum erschließen.

5. Regelmäßige Datenübermittlungen

Die Bestimmung, dass regelmäßige Datenübermittlungen durch Rechtsvorschrift zugelassen werden müssen (§ 12 Abs. 6 NDSG a.F.), ist mit meiner Zustimmung gestrichen worden. Die Regelung hat in der Verwaltungspraxis zu vielfältigen Problemen geführt. Insbesondere gab es Abgrenzungsschwierigkeiten bei der Frage, wann eine regelmäßige Datenverarbeitung vorlag.

Für automatisierte Abrufverfahren ist das Erfordernis einer Rechtsvorschrift erhalten geblieben.

6. Forschung

Auch die bisherige Verpflichtung, den LfD über die Verarbeitung personenbezogener Daten für Forschungsvorhaben dann zu unterrichten, wenn eine Abwägung zwischen dem öffentlichen Interesse an dem Vorhaben und dem schutzwürdigen Interesse der Betroffenen vorzunehmen ist (§ 25 Abs. 2 Nr. 3 NDSG), wurde auf meine Anregung hin gestrichen. Anstelle des LfD ist der behördliche Datenschutzbeauftragte der forschenden Stelle zu unterrichten. Damit wird deren datenschutzrechtliche Verantwortung hervorgehoben.

Anpassung des NDSG an die EU-Datenschutzrichtlinie

Die Arbeiten zur Novellierung des NDSG waren gerade abgeschlossen, als schon die nächste Änderung vorbereitet werden musste. Bis zum 24. Oktober 1998 war die 1995 vom Rat der Europäischen Union verabschiedete EU-Datenschutzrichtlinie in den Mitgliedstaaten der EU umzusetzen. Um die Verwaltungspraxis nicht mit kurzfristig aufeinander folgenden Rechtsänderungen zu belasten, hatte ich ­ leider erfolglos ­ vorgeschlagen, das Gesetz in einem Zuge zu überarbeiten.

Die Änderungen aufgrund der Richtlinie betreffen in erster Linie die Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen, für deren Regelung der Bund zuständig ist. Daneben sind aber auch einige wichtige Änderungen bei der Datenverarbeitung öffentlicher Stellen vorzunehmen. Dem Bund ist es trotz vielfacher Aufforderungen durch den Bundessowie die Landesbeauftragten für den Datenschutz nicht gelungen, das BDSG zeitgerecht zu novellieren. Auch Niedersachsen hat die Umsetzungsfrist nicht einhalten können. Die Landesregierung hat jedoch einen Gesetzentwurf erarbeitet, der im Frühjahr nächsten Jahres in den Landtag eingebracht werden soll.

Bis zum Inkrafttreten dieser Rechtsvorschriften sind nach der Rechtsprechung des Europäischen Gerichtshofs zur nicht fristgerechten Umsetzung von EURichtlinien die Vorschriften der Datenschutzrichtlinie, die den Bürgerinnen und Bürgern hinreichend bestimmte und unbedingte Rechte gegenüber dem Staat einräumen, unmittelbar anzuwenden.

Der Gesetzentwurf, der neben der Anpassung an die Richtlinie einige weitere Vorschriften enthält, sieht im Wesentlichen folgende Änderungen vor:

1. Wegfall des Dateibegriffs

Der Sprachgebrauch des NDSG wird an die EU-Richtlinie angepasst. Der bisherige Dateibegriff entfällt. Er wird durch den Begriff der automatisierten Verarbeitung ersetzt. Materielle Bedeutung hat der Dateibegriff nicht mehr, als Anknüpfungspunkt für die Dateibeschreibung ist er entbehrlich. Auch die EU-Richtlinie verlangt seine Beibehaltung nicht. Zwar erfasst deren Anwendungsbereich neben automatisiert verarbeiteten Daten auch herkömmlich verarbeitete Informationen, die in einer Datei gespeichert werden. Der Dateibegriff dient in diesem Zusammenhang aber nur als Abgrenzung zur Akte, für die die Richtlinie nicht gilt. Diese Abgrenzungsnotwendigkeit ist für das NDSG, das seit 1993 Akten voll in seinen Geltungsbereich einbezogen hat, nicht gegeben. Der Dateibegriff wird lediglich für eine Übergangszeit noch eine Rolle spielen, soweit er in bereichsspezifischen Regelungen verwendet wird. Diese Vorschriften müssen an das NDSG angepasst werden.

Mit dem Wegfall des Dateibegriffs tritt an die Stelle der bisherigen Dateibeschreibung eine Beschreibung der automatisierten Datenverarbeitung.

2. Wartungs- und Systembetreuungsarbeiten

Die rechtliche Einordnung von Wartungs- und Systembetreuungsarbeiten durch externe Personen oder Stellen bei automatisierter Datenverarbeitung ist umstritten. Zwar werden diese Arbeiten vom Innenministerium und mir übereinstimmend als Auftragsdatenverarbeitung angesehen, zur Beseitigung der bestehenden Unklarheiten habe ich mich jedoch für eine gesetzliche Regelung ausgesprochen. Das Innenministerium möchte sich dagegen mit einer Klarstellung in der Gesetzesbegründung begnügen. Gesetzlich festgelegt werden sollte auch, dass der Auftraggeber vor Beginn der Arbeiten sicherzustellen hat, dass sein Auftragnehmer personenbezogene Daten nur zur Kenntnis nehmen kann, soweit dies unvermeidbar ist.

3. Chipkarten

Für Chipkarten und andere miniaturisierte Datenverarbeitungssysteme, die Bürgerinnen und Bürgern mit sich führen und die mit anderen Datenverarbeitungssystemen direkt kommunizieren, sieht der Entwurf eine Regelung zur Auskunftspflicht vor. Da die Betroffenen den Inhalt der Chipkarte regelmäßig nicht einsehen können, soll jede Stelle, die Daten auf der Chipkarte verarbeitet, verpflichtet werden, den Betroffenen ­ z. B. durch ein Bereitstellen von Lesegeräten ­ Auskunft über die gespeicherten Daten zu erteilen.

Die Stelle, die für die Herausgabe der Chipkarte verantwortlich ist, hat zudem Auskunft nach § 16 NDSG zu geben.

Das Transparenzgebot erfordert es, den elektronischen Kommunikationsvorgang zwischen Kartenterminal und Karte erkennbar zu machen. Das Innenministerium stimmt dieser Bewertung zu, lehnt jedoch die von mir vorgeschlagene entsprechende gesetzliche Regelung ab. Es verweist darauf, dass sich die angestrebte Rechtsfolge schon aus § 9 Abs. 1 NDSG ergebe, wonach personenbezogene Daten grundsätzlich nur mit Kenntnis des Betroffenen erhoben werden dürfen.

Aus meiner Sicht zeigt sich an dieser wie an vielen anderen Stellen (vgl. 6.1) ein problematisches Grundverständnis bei der Schaffung datenschutzrechtlicher Vorschriften. Gerade wenn es um die Ausübung von Grundrechten geht, darf im Vordergrund einer gesetzlichen Regelung nicht die äußerste Verknappung einer Vorschrift stehen, deren Verständnis sich erst dem Fachmann nach eingehender Analyse erschließt. Will man die Ausübung des PerNiedersächsischer Landtag ­ 14. Wahlperiode Drucksache 14/425

sönlichkeitsrechts fördern, muss man vielmehr auch den Bürgerinnen und Bürgern ein sachgerechtes Verständnis der sie betreffenden Regelungen ermöglichen.

Eine Verpflichtung zur Benutzung einer Chipkarte oder anderer mobiler Kleinrechner kann nur durch Rechtsvorschrift begründet werden. Auch dies sollte gesetzlich festgelegt werden.

4. Behördliche Datenschutzbeauftragte

Zur Kontrolle der Verarbeitung personenbezogener Daten sieht die EUDatenschutzrichtlinie eine zentrale Meldepflicht über die automatisierte Datenverarbeitung gegenüber der jeweiligen Kontrollbehörde vor. Auf dieses bürokratische Verfahren kann verzichtet werden, wenn statt dessen behördeninterne Datenschutzbeauftragte bestellt werden, wie dies in Niedersachsen seit 1993 gesetzlich vorgeschrieben ist. Die bisherige Einschränkung, dass ein Datenschutzbeauftragter nur bestellt werden muss, wenn mindestens fünf Bedienstete bei der öffentlichen Stelle ständig mit Aufgaben der automatisierten Datenverarbeitung beschäftigt sind, ist jedoch ­ will man die Meldepflicht vermeiden ­ mit der Richtlinie nicht vereinbar. Sie wird deshalb gestrichen.

Der niedersächsische Gesetzgeber war seinerzeit bestrebt, die Stellung und die Aufgaben des Datenschutzbeauftragten nicht im Einzelnen festzulegen, um den öffentlichen Stellen, insbesondere den Kommunen, ein möglichst großes Maß an Gestaltungsfreiheit zu lassen. Mehr, als dass der Datenschutzbeauftragte die öffentliche Stelle zu unterstützen habe und dies vor allem bei der Prüfung technischer und organisatorischer Maßnahmen sowie der Erstellung von Dateibeschreibungen, sagt das Gesetz nicht. Dieses Minimalprogramm machte es möglich, die Aufgaben des Datenschutzbeauftragten von vornherein stark einzuengen. In der Regel haben die öffentlichen Stellen von dieser Möglichkeit allerdings keinen Gebrauch gemacht. Sie sind statt dessen meinen weitergehenden Vorschlägen gefolgt, die im Interesse des Datenschutzes auf eine angemessene Aufgabenbeschreibung abzielen. Der bisherige einschränkende gesetzgeberische Ansatz ist mit der EUDatenschutzrichtlinie nicht vereinbar. Sie verlangt eine wirksame, effektive Aufgabenwahrnehmung durch den behördeninternen Datenschutzbeauftragten.

Das Innenministerium geht auch hier wieder zaghaft vor. Der Gesetzentwurf bestimmt, dass der Datenschutzbeauftragte auf die Einhaltung der Datenschutzvorschriften hinwirken, Technikfolgenabschätzungen (Vorabprüfungen) durchführen und die Bediensteten über die Datenschutzerfordernisse zu unterrichten habe. Zur Stärkung des behördeninternen Beauftragten reicht dies allerdings nicht aus. Nach meiner Auffassung muss ihm zusätzlich die Aufgabe übertragen werden, die Anwendung der Datenverarbeitungsprogramme zu überwachen. Über Vorhaben der automatisierten Datenverarbeitung ist er zu unterrichten und zu ihnen anzuhören. Er sollte das Recht zur Akteneinsicht erhalten. Vor allem aber halte ich es für erforderlich, der öffentlichen Stelle die Verpflichtung aufzuerlegen, ihren Datenschutzbeauftragten zu unterstützen. Nur wenn dieser den nötigen Rückhalt seiner Behörde erhält, kann er seine Aufgaben auch gegen Widerstände wirkungsvoll wahrnehmen. In der Vergangenheit hat es vereinzelt Klagen von Datenschutzbeauftragten gegeben, die diese Unterstützung vermissten.

Zum Ausbau der Stellung des Datenschutzbeauftragten gehört auch, dass er mit den notwendigen räumlichen, personellen und sächlichen Mitteln ausgestattet wird und dass er ­ sofern er nicht ausschließlich in dieser Funktion tätig wird ­ im erforderlichen Umfang von seinen anderen Aufgaben freizu