Horst Westerfeld, Staatssekretär sowie Bevollmächtigter für E-Government und Informationstechnologie in der Landesverwaltung:
Sehr geehrter Herr Präsident, sehr geehrte Damen und Herren! Herr Prof. Ronellenfitsch, vielen Dank für die – so, wie Sie es formuliert haben – Botschaften mit Bodenhaftung und Tiefgang. Der Hessische Datenschutzbeauftragte war schon in der letzten Sitzung des Innenausschusses der Ansicht, er habe in der Stellungnahme der Landesregierung zu seinem 37. Tätigkeitsbericht zu oft deren Zustimmung zu seiner Auffassung erhalten. Daraus auf eine unkritische Haltung des Hessischen Datenschutzbeauftragten gegenüber den Projekten der Hessischen Landesregierung zu schließen, wäre jedoch nicht richtig.
Vielmehr gab es im Berichtszeitraum eine Reihe von Bereichen, in denen zunächst unterschiedliche Auffassungen bestanden. Die Landesregierung verfolgt nicht nur das Ziel, die Anforderungen des Datenschutzes in allen Bereichen zu erfüllen. Darüber hinaus versucht sie, Einvernehmen mit dem Hessischen Datenschutzbeauftragten in den diskutierten datenschutzrechtlichen Fragen zu erreichen.
Schließlich dienen die Ergebnisse der datenschutzrechtlichen Diskussion zwischen dem Hessischen Datenschutzbeauftragten und der Landesregierung, wie sie im Tätigkeitsbericht und in der Stellungnahme der Landesregierung veröffentlich werden, vielen Behörden in Hessen als Leitlinie, wenn diese neue Verfahren planen oder einführen wollen.
Wenn Unterschiede in der Auffassung darüber bestehen, was dem Hessischen Datenschutzgesetz entspricht, könnte das zu Rechtsunsicherheit bei der Anwendung der Gesetze führen.
Die gute Zusammenarbeit erschöpft sich nicht in der Suche nach einer gemeinsamen Auffassung, wenn Differenzen sichtbar werden.Es bestehen in vielen Bereichen fort
laufender Kontakte zwischen der Landesregierung und dem Hessischen Datenschutzbeauftragten. Dabei werden wichtige Entscheidungen, z. B. zu neuen Verfahren, erörtert. Dazu ist auch der regelmäßig vorgesehene Workshop mit dem Hessischen Datenschutzbeauftragten zu zählen, der zuletzt vor zwei Tagen, am 17. November 2009, stattfand und auf dessen Tagesordnung Themen wie der Staatsvertrag zur Umsetzung des Art. 91c Grundgesetz, die IT-Sicherheitsleitlinie der Landesregierung, die technische Richtlinie zur Telearbeit sowie wichtige Standards zur Sicherung der eingesetzten Verfahren standen.
Ich komme zu der Daseinsvorsorge. Dies ist ein Bereich, in dem zunächst sehr unterschiedliche Rechtsauffassungen bestanden. Jedoch konnte im Laufe der Diskussion mit dem Hessischen Datenschutzbeauftragten weitgehend Einvernehmen erzielt werden.
Ich komme jetzt auf die vom Hessischen Datenschutzbeauftragten im Innenausschuss noch einmal angesprochene Frage der datenschutzrechtlichen Zuständigkeit für privatrechtlich organisierte Unternehmen zu sprechen, die auf dem Gebiet der Daseinsvorsorge tätig sind. Der Hessische Datenschutzbeauftragte vertritt hier eine sehr weitgehende Auslegung des Gesetzes, was seine Zuständigkeit für privatrechtlich organisierte Unternehmen betrifft. Er ist der Ansicht, es handele sich bei diesen immer um öffentliche Stellen im Sinne des Hessischen Datenschutzgesetzes, die damit seiner Aufsicht unterliegen würden, weil sich der Staat der Aufgabe der Daseinsvorsorge nicht entledigen könne. Auch wenn diese Aufgabe durch einen Privaten erfüllt werde, ändere sich nichts an der Zuordnung zum öffentlichen Bereich.
Zum besseren Verständnis, an welchem Punkt die Auffassungen des Hessischen Datenschutzbeauftragten und der Landesregierung voneinander abweichen,ist ein Blick auf die Rechtslage erforderlich. Das geltende Recht verlangt in jedem Einzelfall für jedes Unternehmen, dessen Tätigkeit in den Bereich der Daseinsvorsorge fallen könnte, eine mehrstufige Prüfung auf der Grundlage des § 2 Bundesdatenschutzgesetz und des § 3 Hessisches Datenschutzgesetz.
Für öffentliche Stellen in Hessen – mit Ausnahme derer des Bundes – gilt das Hessische Datenschutzgesetz. Für nicht öffentliche Stellen gilt grundsätzlich das Bundesdatenschutzgesetz. Die gesetzliche Definition der nicht öffentlichen Stelle befindet sich in § 2 Abs. 4 Bundesdatenschutzgesetz. Der Bund hat insoweit von seiner Gesetzgebungskompetenz Gebrauch gemacht.
Weder der Landesgesetzgeber noch die Landesregierung kann eine hiervon abweichende Regelung treffen. Nach der Systematik des Bundesdatenschutzgesetzes ist eine Vereinigung des privaten Rechts nur dann eine öffentliche Stelle, wenn daran mindestens eine öffentliche Stelle beteiligt ist und sie Aufgaben der öffentlichen Verwaltung wahrnimmt – dies findet sich in § 2 Abs. 3 Bundesdatenschutzgesetz – oder wenn sie hoheitliche Aufgaben der öffentlichen Verwaltung wahrnimmt. Dies findet sich in § 2 Abs. 4 Bundesdatenschutzgesetz.
Das Bundesdatenschutzgesetz unterscheidet also bei der Zuordnung privatrechtlich organisierter Unternehmen zu den öffentlichen Stellen zwischen hoheitlichen Aufgaben und anderen Aufgaben der öffentlichen Verwaltung. Nur wenn hoheitliche Aufgaben wahrgenommen werden, kommt es auf eine Beteiligung der öffentlichen Hand nicht an.
Nach Auffassung der Landesregierung darf diese Definition im Bundesrecht nicht durch eine weite Auslegung des Begriffs der „hoheitlichen Aufgaben“ in § 3 Abs. 1 Hessisches Datenschutzgesetz umgangen werden, wie das der Hessische Datenschutzbeauftragte vorschlägt. Private Unternehmen würden sonst entgegen der Regelung des Bundesdatenschutzgesetzes dem Landesdatenschutzgesetz unterworfen.
Die Landesregierung sieht es als ihre Aufgabe an, für die korrekte Anwendung des Bundesdatenschutzgesetzes auf nicht öffentliche Stellen Sorge zu tragen.Damit soll weder einer Flucht in das Privatrecht Vorschub geleistet werden, noch soll die Aufgabenstellung des Hessischen Datenschutzbeauftragten ausgehöhlt werden. Hier setzt das Bundesrecht der Interpretierbarkeit des Landesrechts eine Grenze.
Die vom Hessischen Datenschutzbeauftragten in diesem Zusammenhang im Innenausschuss angesprochene Thematik der Aufsicht über die Fraport AG ist insoweit seit Längerem geklärt. Der Minister des Inneren und für Sport hatte bereits im Jahr 2006 entschieden, wegen der negativen Folgen für die Rechtssicherheit auf die Fortführung der Diskussion über die Zuständigkeit zu verzichten. Er hat Einvernehmen mit dem Hessischen Datenschutzbeauftragten darüber erzielt, dass dessen Behörde für die Fraport AG zuständig ist, soweit das Unternehmen in der Daseinsvorsorge tätig ist. Insofern besteht in Bezug auf die Zuständigkeit für die Fraport AG wiederum Einvernehmen zwischen dem Hessischen Datenschutzbeauftragten und der Landesregierung.
Vielfach wurde der nicht öffentliche Bereich angesprochen. Zusammen mit ihrer Stellungnahme zum Tätigkeitsbericht des Hessischen Datenschutzbeauftragten hat die Landesregierung ihren eigenen Bericht über die Tätigkeit des Regierungspräsidiums Darmstadt als Aufsichtsbehörde vorgelegt. Das Regierungspräsidium leistet seit Jahren kontinuierlich gute Arbeit als Aufsichtsbehörde nach § 38 Bundesdatenschutzgesetz. Das darf hier nicht unerwähnt bleiben und wurde hier auch erwähnt.
Seitdem die Landesregierung im Jahr 2005 die Aufsicht über den Datenschutz für ganz Hessen dem Regierungspräsidium Darmstadt übertragen hat,ist dessen Belastung durch Eingaben und Beratungsanfragen stetig angestiegen. Die Zahlen können im Einzelnen der Landtagsdrucksache entnommen werden. Dennoch soll die Zahl der die Behörde im Berichtsjahr 2008 erreichten Eingaben hier einmal erwähnt werden. Während die Behörde im Jahr 2007 658 neue Eingaben registrierte, waren es im Jahr 2008 bereits 850. Das ist ein Anstieg um rund 29 %.
Der hinter dieser Zahl stehende Anstieg des Arbeitsaufkommens wurde von der Behörde ohne Weiteres Aufheben bewältigt. Das zeigt, mit welchem Engagement die Mitarbeiterinnen und Mitarbeiter des Regierungspräsidiums ihre Aufgaben erledigen.
Die Zahl der Eingänge zeigt darüber hinaus auch,dass die Behörde in der Bevölkerung längst als Datenschutzaufsicht für die Wirtschaft bekannt ist. Dieser Hinweis sei erlaubt, da die Befürworter einer Zusammenlegung der Aufsicht beim Hessischen Datenschutzbeauftragten häufig damit argumentieren, die Aufteilung der Zuständigkeiten zwischen dem Regierungspräsidium Darmstadt und dem Hessischen Datenschutzbeauftragten sei für die Bürgerinnen und Bürger Hessens nicht verständlich.
Der Anstieg der Zahl der Eingaben beim Regierungspräsidium Darmstadt könnte mittelbar auch eine Folge der
bekannt gewordenen Datenschutzskandale sein. Herr Prof.Ronellenfitsch hat sich in seiner Rede auf diese Fälle bezogen.
Bei allen negativen Folgen für die Betroffenen wurde durch die öffentliche Diskussion über die Vorfälle das allgemeine Bewusstsein für die Belange des Datenschutzes in der Wirtschaft gestärkt. Auch das könnte dazu geführt haben, dass sich der eine oder andere bei Zweifeln, ob ein Unternehmen ordnungsgemäß mit seinen Daten umgeht, mit seinem Anliegen an das Regierungspräsidium Darmstadt gewandt hat.
Der Bundesgesetzgeber hat bereits auf die Vorfälle reagiert.Am 1. September 2009 ist das Gesetz zur Änderung datenschutzrechtlicher Vorschriften in Kraft getreten, durch das ein neuer § 32, der die Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses regelt, in das Bundesdatenschutzgesetz eingefügt wurde. In der Begründung des Gesetzentwurfs zu § 32 wird unter anderem ausgeführt:
Die Datenschutzskandale bei einer Reihe von Großunternehmen haben aktuell deutlich gemacht, dass fachlich und politisch Handlungsbedarf beim Datenschutz im Arbeitsleben besteht....
§ 32 regelt, zu welchen Zwecken und unter welchen Voraussetzungen personenbezogene Daten vor, im und nach dem Beschäftigungsverhältnis erhoben, verarbeitet und genutzt werden dürfen.
Da die Vorschrift erst vor gut zwei Monaten in Kraft getreten ist, liegen noch keine Erfahrungen aus der Kontrollpraxis der Aufsichtsbehörde dazu vor. Ob sich die in die Regelung gesetzten Erwartungen erfüllen, wird sich in einem Jahr oder in zwei Jahren zeigen,wenn die ersten Tätigkeitsberichte der Aufsichtsbehörden über deren Prüfergebnisse zum Umgang der Unternehmen mit § 32 Bundesdatenschutzgesetz erstattet werden.
In diesem Zusammenhang muss auch erwähnt werden, dass die Befugnisse der Datenschutzaufsichtsbehörden durch das am 1.September 2009 in Kraft getretene Gesetz zur Änderung datenschutzrechtlicher Vorschriften in einer Hinsicht wesentlich erweitert wurden. Durch eine Ergänzung in § 38 Bundesdatenschutzgesetz sind die Aufsichtsbehörden jetzt befugt, gegenüber den Daten verarbeitenden Stellen Maßnahmen zur Behebung eines datenschutzwidrigen Zustandes anzuordnen. Bei besonders gravierenden Verstößen gegen das Datenschutzrecht können sie sogar die Nutzung oder den Einsatz einzelner Verfahren untersagen. Das war den Aufsichtsbehörden bislang nicht möglich.
Diese Regelung wurde aufgrund einer Forderung der Länder im Bundesrat, die Hessen unterstützt hat, von der Bundesregierung in ihren Gesetzentwurf vom Januar 2009 aufgenommen. Die Länder konnten dabei auf die Erfahrung ihrer Aufsichtsbehörden aus der täglichen Praxis zurückgreifen, über die der Bund nicht verfügt. Diese neue Befugnis der Aufsichtsbehörden wird auch bei der Frage, ob die Datenschutzaufsicht einer von der Exekutive unabhängigen Behörde wie dem Hessischen Datenschutzbeauftragten übertragen werden darf, von Bedeutung sein. Durch sie werden nämlich die exekutiven Befugnisse der Datenschutzaufsichtsbehörden erst richtig deutlich.
Noch einige Sätze zu der Datenschutzaufsicht für den nicht öffentlichen Bereich. Die Erörterung der Frage, ob und gegebenenfalls wie die Datenschutzaufsicht für den
nicht öffentlichen Bereich neu geordnet werden sollte,haben wir mit Rücksicht auf die noch ausstehende Entscheidung des Europäischen Gerichtshofs in dem Klageverfahren der EU-Kommission gegen die Bundesrepublik Deutschland zunächst vertagt. Herr Greilich hat schon einiges vorweggenommen.
Solange nicht klar ist, welche Verpflichtungen sich aus der EG-Datenschutzrichtlinie für die Organisationsform der Aufsichtsbehörden in Bezug auf deren Unabhängigkeit ergeben, ist eine rechtlich tragfähige Entscheidung in dieser Frage nicht möglich. Nun hat Herr Prof. Ronellenfitsch in seiner Rede auf mögliche Folgen der bevorstehenden Entscheidung des Europäischen Gerichtshofs hingewiesen.Daher möchte ich Sie abschließend über den Stand des Verfahrens beim EuGH informieren.
Vor genau einer Woche, am vergangenen Donnerstag, hat der Generalanwalt beim Europäischen Gerichtshof seine Beschlussanträge in dem Verfahren gegen die Bundesrepublik Deutschland gestellt.Diese Schlussanträge des Generalanwalts sind deshalb von großem Interesse, weil sie einen Entscheidungsvorschlag für den Gerichtshof enthalten. Oft lässt sich aus den Anträgen des Generalanwaltes ersehen, wie der EuGH abschließend entscheiden wird.
Der Generalanwalt hat nun beantragt, die Klage gegen die Bundesrepublik Deutschland abzuweisen. Ein Blick in die Begründung der Anträge ist interessant. Der Generalanwalt folgt zunächst der Auffassung der Bundesregierung, die in einer engen Abstimmung mit den Ländern formuliert wurde, dass die EG-Datenschutzrichtlinie keine Verpflichtung enthält, die Datenschutzaufsicht für den privaten Bereich einer von der Exekutive organisatorisch unabhängigen Stelle zu übertragen.
Horst Westerfeld, Staatssekretär sowie Bevollmächtigter für E-Government und Informationstechnologie in der Landesverwaltung:
Darüber hinaus ist eine der wesentlichen Aussagen, dass die Kommission keine Beweise für ihre Behauptung vorgelegt hat, die unabhängige Aufgabenwahrnehmung werde durch eine Rechts- oder Fachaufsicht, wie sie das Innenministerium über das Regierungspräsidium Darmstadt ausübt, beeinträchtigt. Der Generalanwalt stellt sogar fest,dass eine solche Aufsicht im Gegenteil dazu dient, die ordnungsgemäße Erfüllung der Kontrolle zu gewährleisten.
Ich komme zum Schluss.Wenn der Europäische Gerichtshof bei seiner Entscheidung den Anträgen des Generalanwalts folgen sollte, wäre verbindlich festgestellt, dass sich aus der EG-Datenschutzrichtlinie keine Verpflichtung zur Änderung der in Hessen bestehenden bewährten Aufteilung der Aufsicht im Datenschutz zwischen dem Hessischen Datenschutzbeauftragten und dem Regierungspräsidium Darmstadt ergibt. Es liege dann im Ermessen des Landesgesetzgebers, ob er die Verlagerung der Aufsicht für den Bereich der Wirtschaft auf den Hessischen Datenschutzbeauftragten vornimmt oder nicht. – Vielen Dank für die Aufmerksamkeit.
Der Innenausschuss empfiehlt dem Plenum einstimmig, den Tätigkeitsbericht zur Kenntnis zu nehmen, was wir gemacht haben, und darüber eine Aussprache zu führen. Dies ist ebenfalls erfolgt.Also sind wir der Beschlussempfehlung, wie üblich, einmütig nachgekommen. Ich stelle fest, wir müssen darüber nicht abstimmen, dass wir es so gemacht haben, wie wir es machen sollten. Damit ist der Punkt so weit abgehakt. Herr Prof. Ronellenfitsch, ich möchte Ihnen noch einmal ein herzliches Wort des Dankes sagen. Für die zukünftigen Aktivitäten alles Gute, Glück auf und Gottes Segen.
Antrag der Fraktion DIE LINKE betreffend Ablehnung des Gesetzentwurfs der Bundesregierung vom 7. Oktober 2009 „Sechstes Gesetz zur Änderung des Zweiten Buches Sozialgesetzbuch“ im Bundesrat und Neuverhandlung des Bundesanteils an der Finanzierung der Kosten der Unterkunft für Langzeitarbeitslose und ihre Familien für das Jahr 2010 – Drucks. 18/1252 –
Herr Präsident, meine Damen und Herren! Vielleicht bekommen wir unsere Sitzung schneller zu Ende, wenn sich dieses Ding ein klein bisschen schneller bewegen könnte.
(Das Rednerpult senkt sich langsam. – Sarah Sorge (BÜNDNIS 90/DIE GRÜNEN):Was können denn die Möbel dafür? – Zuruf von der CDU: Oder kürzer reden!)
Seien Sie einmal über meine Redezeit gelassen. Ich bin es. Gewöhnlich kann man die Sachen, wenn man sie einmal kurz und prägnant zusammenfasst, in der angesetzten Redezeit hinbekommen.
Heute Morgen haben wir bereits über die verheerende Finanzsituation der hessischen Kommunen debattiert, und Willi van Ooyen hat gesagt: Zu prekär ist heute schon die Finanzlage der hessischen Kommunen, zu alarmierend sind die kommenden Steuereinbrüche der Kommunen, und zu absurd und gefährlich erscheinen die schwarz-gelben Steuerpläne für die kommunalen Haushalte und die öffentliche Daseinsvorsorge.