Ist die Einwilligungsklausel für Data Mining und Data Warehousing klar und

Data Mining noch viele weitere Informationen über den künftigen Vertragspartner oder Kunden in Erfahrung gebracht werden können?

­ Ist die Einwilligungsklausel für Data Mining und Data Warehousing klar und umfassend?

­ Wissen potentielle Kunden, vorhandene Kunden, Vertragspartner, Lieferanten usw., über die personenbezogene Informationen im Data Warehouse (oder Data Mart) gespeichert werden, dass diese Daten einer großen Anzahl von Mitarbeitern unternehmensweit zum Abruf oder zur Datenauswertung zur Verfügung gestellt werden?

Die Schlussfolgerung, ein Data Warehouse dürfe aus datenschutzrechtlicher Sicht grundsätzlich nicht betrieben werden, wäre sicher voreilig. Nach meinen bisherigen Erkenntnissen können Data Warehouse-Systeme unter Nutzung datenschutzfreundlicher Technologien, insbesondere durch Anonymisierung und Pseudonymisierung, so konzipiert werden, dass sie den datenschutzrechtlichen Anforderungen genügen. Natürlich sind dann technische und organisatorische Maßnahmen erforderlich, die eine Deanonymisierung verhindern bzw. die Zuordnung eines Pseudonyms zu einer Person nur unter vorher festgelegten, rechtlich zulässigen Bedingungen ermöglichen. Die 59. Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat hierfür erste „Datenschutzleitplanken" erarbeitet (vgl. Anlage 16). Datenschutzleitplanken für ein Data Warehouse

­ Personenbezogene Daten dürfen nur im Rahmen der gesetzlich zugelassenen Zwecke oder der gegenseitigen Vereinbarungen verwendet werden.

Eine personenbezogene Speicherung in einem allgemein verwendbaren Data Warehouse entfernt sich vom ursprünglichen Verwendungszweck und stellt eine Speicherung auf Vorrat ohne Zweckbindung dar. Personenbezogene Daten, die bei der öffentlichen Verwaltung vorhanden sind, sind in ihrer Zweckbestimmung grundrechtlich geschützt und dürfen nicht für unbestimmte Zwecke in einem „Daten-Lagerhaus" gesammelt werden.

­ Eine Zweckänderung ist in den gesetzlich vorgesehenen Fällen oder mit Einwilligung der Betroffenen zulässig, nachdem diese über die Tragweite der Einwilligung aufgeklärt worden sind. Eine Einwilligung in unbestimmte und zeitlich unbegrenzte Zweckänderungen ist unwirksam.

­ Gestaltung und Auswahl von Datenverarbeitungs-Systemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu verarbeiten. Anonyme und pseudonyme Verfahren sind datenschutzrechtlich unbedenklich.

­ Verfahren sind so zu gestalten, dass die Betroffenen hinreichend unterrichtet werden, damit sie jederzeit die Risiken abschätzen und ihre Rechte wahrnehmen können. Sie haben insbesondere das Recht, eine erteilte Einwilligung jederzeit zu widerrufen.

­ Die gesetzlichen Speicherfristen, nach deren Ablauf die Daten zwingend archiviert oder gelöscht werden müssen, sind strikt zu beachten. Deswegen ist die Einrichtung von permanenten „Daten-Lagerhäusern" rechtswidrig.

­ Keiner darf einer belastenden automatisierten Einzelentscheidung unterworfen werden (Art. 15 EU-Datenschutzrichtlinie).

7 Datenschutz beim Landtag

In der Vergangenheit haben sich Bürgerinnen und Bürger verschiedentlich wegen ihrer Namensnennung im Zusammenhang mit Petitionen an den Niedersächsischen Landtag sich an mich gewandt (s. XI. TB 5.1, 16.5). Obwohl diese Vorstöße zu einer Änderung des Petitionsverfahrens geführt haben, ist dieses - wie ich zuletzt im XIV. TB 5 - dargelegt habe, unter Datenschutzgesichtspunkten immer noch nicht befriedigend ausgestaltet. Anders als im Bund und in anderen Bundesländern kommt es in Niedersachsen nach wie vor zu einer personenbezogenen öffentlichen Diskussion von Petitionen im Parlament.

Ich habe dem Landtag im XIV. TB 5 empfohlen, die von der Konferenz der Präsidentinnen und Präsidenten der Deutschen Landesparlamente angenommene Entschließung zum parlamentspezifischen Datenschutzrecht vom 8./11. Mai 1995 auch in Niedersachsen umzusetzen. Hierzu werde ich in der nächsten Berichtsperiode intensive Gespräche mit dem Landtag führen.

8 Statistik

Gesetz zur Vorbereitung eines registergestützten Zensus

Die heftigen Auseinandersetzungen um die Volkszählung, die 1983 stattfinden sollte, ist nicht nur Statistik- und Datenschutzexperten in lebhafter Erinnerung.

Zahlreiche Verfassungsbeschwerden richteten sich damals gegen das Volkszählungsgesetz, das vom Bundesverfassungsgericht in dem berühmten, auch in diesem Tätigkeitsbericht mehrfach erwähnten „Volkszählungsurteil" vom 15. Dezember 1983 für teilweise nicht mit dem Grundgesetz vereinbar erklärt wurde. Diese Entscheidung darf als ein Meilenstein in der Geschichte des Datenschutzes bezeichnet werden. Erst 1987 konnte dann die Volkszählung aufgrund eines geänderten Gesetzes durchgeführt werden.

Für das Jahr 2001 ist in der Europäischen Union eine gemeinschaftsweite Volksund Wohnungszählung vorgesehen. Nach langen Diskussionen hat die Konferenz der Innenminister und -senatoren 1998 aufgrund des Vorschlags einer Arbeitsgruppe beschlossen, für die anstehende Volkszählung einen Methodenwechsel von einer primärstatistischen Vollerhebung zu einer hauptsächlich registergestützten Erhebung vorzunehmen. Vom Deutschen Bundestag wurden die Bemühungen der Bundesregierung, von einer Totalerhebung abzusehen, und ihre Überlegungen, eine stichtagsbezogene Auswertung der Melderegister vorzunehmen, in einem Beschluss begrüßt (BT-Drs. 13/1168 vom 26. Juni 1998). Grund für diesen Wechsel von einer Vollerhebung zu einer registergestützten Erhebung ist in erster Linie die Aussicht, durch Nutzung von Daten aus Verwaltungsdateien, insbesondere den Melderegistern, erhebliche Kosten zu sparen.

Daneben erhofft man sich jedoch auch durch Verzicht auf eine Befragung der Bevölkerung die Vermeidung der bei der vorhergehenden Volkszählung aufgetretenen Akzeptanzprobleme.

Die mit dem Methodenwechsel verbundenen neuen Verfahren müssen vorbereitet und in Tests erprobt und weiterentwickelt werden. Von den Datenschutzbeauftragten ist wiederholt darauf hingewiesen worden, dass auch Datenerhebungen, die zu solchen Erprobungszwecken erfolgen, mit einem Eingriff in das Recht auf informationelle Selbstbestimmung verbunden sind und daher einer Rechtsgrundlage bedürfen.

Diese Rechtsgrundlage soll durch das „Gesetz zur Vorbereitung eines registergestützten Zensus (Zensusvorbereitungsgesetz - ZensVorG)" geschaffen werden, dessen Entwurf mit Stand vom 4. September 2000 vorliegt. Vorgesehen sind

Testerhebungen zur Prüfung der Qualität der Melderegister und der Dateien der Bundesanstalt für Arbeit sowie weiterhin die Überprüfung statistischer Verfahren und methodische Untersuchungen. Der Entwurf ordnet daher Testerhebungen auf Stichprobenbasis bei Meldebehörden und der Bundesanstalt für Arbeit sowie eine Gebäude- und Wohnungsstichprobe in ausgewählten Gemeinden an.

Daneben erfolgt eine Befragung von Personen, die in den für die Stichprobenerhebungen ausgewählten Gebäuden wohnen, um die Qualität und Validität der aus Registern gewonnenen Daten und der dabei angewandten statistischen Verfahren zu überprüfen. Diese Befragung ist nur für die Erprobungsphase vorgesehen und wird bei einem künftigen registergestützten Zensus entbehrlich.

Von den Datenschutzbeauftragten wurden keine grundsätzlichen Einwände vorgetragen. Zugleich wurde jedoch darauf hingewiesen, dass ein registergestützter Zensus nicht einen per se milderen Eingriff in das Recht auf informationelle Selbstbestimmung darstellt, es vielmehr auf die konkrete Ausgestaltung ankommt. Kritik wurde insbesondere an dem sehr umfangreichen Katalog der Hilfsmerkmale, die teilweise kaum von Erhebungsmerkmalen abzugrenzen sind, und ihrer langen Speicherung geübt.

Nach Auffassung des Bundesministeriums des Innern sind alle vorgesehenen Hilfsmerkmale für die Erprobungsphase unentbehrlich. Nach ihrem Abschluss wird geprüft werden, welche dieser Hilfsmerkmale bei einem künftigen Zensus entfallen können. Hinsichtlich der Speicherungsdauer berücksichtigte das Ministerium die Kritik der Datenschutzbeauftragten und setzte den Löschungstermin für die nicht die Meldebehörden betreffenden Hilfsmerkmale auf spätestens fünf Jahre nach dem Stichtag fest.

Die Datenschutzbeauftragten werden das weitere Verfahren wie bisher konstruktiv begleiten.

Was kosten den Staat seine arbeitsunfähigen Beamten?

Es ist unbestritten, dass der Staat Planzahlen für seine gesetzlich festgelegten Leistungen braucht. Das gehören auch verlässliche Zahlen über Versorgungsleistungen für dienstunfähige Mitarbeiterinnen und Mitarbeiter. Solange dies anonym geschieht, ist eine solche Auswertung sensibler Mitarbeiterdaten datenschutzrechtlich unbedenklich. Gegen das von der Bundesregierung geplante Erhebungs- und Verarbeitungsverfahren durch das Statistische Bundesamt, mit dem personenbeziehbare Informationen über Dienstunfähigkeit, Reaktivierung, Teildienstunfähigkeit und Versorgungsansprüche von den personalbewirtschaftenden Stellen und Amtsärzten übermittelt und zentral gespeichert sowie ausgewertet werden sollen, habe ich in Übereinstimmung mit dem für das Statistikrecht zuständigen Niedersächsischen Innenministerium frühzeitig Bedenken erhoben.

Anders als von den Entwurfserstellern des Bundes angenommen, handelt es sich bei der geplanten Erhebung um eine Sekundärstatistik, deren Durchführung einer gesetzlichen Grundlage bedarf. In Anbetracht der geringen Zahl der Fälle in bestimmten Personalbereichen und der differenzierten Erhebung kann zumindest nicht ausgeschlossen werden, dass in Einzelfällen die Daten deanonymisierbar sind. So können z. B. bei Richterinnen und Richtern durch Personalnachrichten in der „Niedersächsischen Rechtspflege" oder Veröffentlichung im Handbuch der Justiz Name und Alter entnommen und den statistischen Daten zugeordnet werden. Hinzu kommt, dass mit den detaillierten Angaben zu Erkrankungen personenbeziehbare Daten erhoben und übermittelt werden, deren Verarbeitung nach der EU-Datenschutzrichtlinie grundsätzlich verboten ist. Eine Verarbeitung von Gesundheitsdaten setzt eine spezialgesetzliche Ermächtigung voraus.