Aber, liebe Kolleginnen und Kollegen, bisher habe ich nicht gehört, dass jemand von der Offenbacher Klinik entlassen worden ist. Ich weiß noch nicht einmal – das werden wir noch abfragen –, ob es dazu jetzt Strafverfahren gibt. Aber Sie merken, mir geht es gar nicht um die Strafschiene. Das wollte ich an dem Fall Tugce Albayrak einmal darstellen. An ihm kann man deutlich machen, dass es für den Datenschutz strukturell noch einiges zu tun gibt.
Ich mache mir aber keinerlei Sorgen um die Kontrolle über den Datenschutz in Hessen. Ich bedanke mich, dass Sie den privaten und den öffentlichen Datenschutz zusammengeführt haben. Der Herr Präsident hat eben darüber berichtet. Ich bin mir sicher, dass die Arbeit weitergeht. Vielleicht können wir in den nächsten Wochen und Monaten gemeinsam schauen, ob wir die Rechtsrahmen etwas anders setzen. Manchmal ist der Spruch „Reisen bildet“ besonders klug. Ich glaube, wir sollten uns das einmal anschauen, was in Tallinn, in Estland, gemacht wird.
Herr Präsident, meine sehr verehrten Damen und Herren! Sehr verehrter Herr Prof. Ronellenfitsch, das gesamte Haus hat Ihnen schon gedankt, und Sie wissen, dass auch meine Fraktion sich diesem Dank an Sie und vor allem an Ihre Mitarbeiterinnen und Mitarbeiter hundertprozentig anschließt.
Ich will aber mit einem etwas anderen Zungenschlag als meine Vorredner beginnen und sagen: Mich treibt weniger der Nationalstolz um – Hesse bin ich sowieso nicht, ich lebe ja in Frankfurt –, wo der beste Datenschutz betrieben wird. Wenn wir auf diesem Weg zu dem bestmöglichen Datenschutz kommen, dann will ich dem gerne zustimmen, auch wenn vieles, was die Datenschutzgesetzgebung angeht, nicht in hessischer Kompetenz liegt. Sie machen aber zu Recht immer wieder darauf aufmerksam, dass wir uns von der Qualität des Datenschutzes entfernen, wenn Regelungskompetenzen zu weit von der Praxis weg, z. B. auf
Ich bin nach wie vor der Meinung – diese Meinung teilen alle Datenschutzbeauftragten –, dass wir einen dringenden Handlungsbedarf in Sachen Datenschutz haben: Vom Beschäftigten-Datenschutz über die Videoüberwachung bis zur Kontrolle der Geheimdienste gibt es zahllose Baustellen, an denen wir gesetzgeberisch im Sinne des Datenschutzes arbeiten müssen.
Ich will anlässlich der heutigen Debatte noch einmal ganz deutlich sagen: Ich bin äußerst enttäuscht von der bisherigen politischen Reaktion auf die NSA-Spionageaffäre – nicht nur der NSA, sondern auch anderer Geheimdienste. Wir müssen daraus mehr Konsequenzen ziehen, als wir bisher angedacht haben, um unsere Daten endlich wieder digital verschlüsselt zu bekommen, um sie für Unbefugte unlesbar zu machen. Die Verschlüsselungstechnologien müssen deutlich verbessert werden. Behörden und Verwaltung müssen hier vorangehen.
Herr Hahn, ich teile Ihren Optimismus nicht, dass man das technisch alles so hinkriegt. Wenn wir irgendetwas sicherer machen, findet sich bestimmt jemand, der auch den neuen Technikstandard unterlaufen, brechen oder entschlüsseln kann. Wir sollten uns und natürlich auch der Bevölkerung aber klarmachen, dass eine Verletzung des Datenschutzes kein Kavaliersdelikt ist, sondern geahndet werden muss, sowohl im Rahmen eines privaten Arbeitsverhältnisses als auch auf strafrechtlicher Seite. Wenn auf Daten unbefugt zugegriffen wird, ist das eine Verletzung unserer Individualität, die einer Körperverletzung gleichkommt. Unsere Antwort muss die gleiche sein wie die auf die Frage: Wie gehen wir in einem Unternehmen mit einem Schläger um? Wie gehen wir in der Gesellschaft mit Menschen um, die uns beklauen?
Damit wäre ich an einer für mich sehr wichtigen Baustelle, an der wir arbeiten müssen, nämlich an der Schaffung eines Beschäftigten-Datenschutzgesetzes. Wir haben in unserem Land fast nur noch Mischarbeitsplätze. Die elektronischen Hilfsmittel, die wir benutzen, Laptops, Mobiltelefone, Smartphones, Tablets usw., werden fast überall einer Mischnutzung unterzogen, also sowohl privat als auch beruflich. In diesem Bereich, bei mobilen Arbeitsplätzen und überall dort, wo wir Daten haben, speichern, sammeln usw., brauchen wir einen verbesserten Datenschutz.
Meine Damen und Herren, ich will diese Debatte zum Anlass nehmen, Sie auf ein ganz aktuelles Problem aufmerksam zu machen. Wir waren bisher immer der Meinung, dass zum Datenschutz auch gehört, dass wir keine Datensammelwut aufkommen lassen oder sie zumindest einengen. Ich möchte Ihnen an dieser Stelle noch einmal ganz klar sagen: Das gilt selbstverständlich vor allen Dingen dann, wenn dies staatlicherseits geschieht und mit Druck oder sogar mit der Aufforderung zu strafbarem Handeln verbunden ist. Ich war heute Morgen sehr empört, als ich erfahren habe, dass der Staatsschutz alle Busunternehmen der Republik angeschrieben hat, um herauszufinden, wer am 18. März Busse nach Frankfurt am Main schicken will, und sie aufgefordert hat, private Kundendaten weiterzugeben. Das ist eine Aufforderung zu strafbarem Handeln, und ich hoffe, dass mir dieses Haus zustimmt, dass ein solches
Handeln nicht tolerabel ist – auch nicht seitens der Polizei oder des Staatsschutzes. Es ist eine Verletzung des Datenschutzes, und das ist nicht hinnehmbar.
Sehr geehrter Herr Präsident, verehrte Kolleginnen und Kollegen! Sehr geehrter Herr Prof. Dr. Ronellenfitsch, auch unser Dank geht an Sie. Sie und Ihre Mitarbeiterinnen und Mitarbeiter haben wieder hervorragende Arbeit geleistet. Ich finde Ihren Datenschutzbericht immer gut lesbar, weil Sie, das ist leider nicht selbstverständlich, in einer gut verständlichen, schönen Sprache schreiben, sodass es eine Freude und keine Qual ist, den Bericht zu lesen.
In ihrer Stellungnahme stimmt die Landesregierung der Einschätzung des Datenschutzbeauftragten zu, dass durch das große Interesse der Medien an den Abhöraktivitäten ausländischer Geheimdienste bei den Bürgerinnen und Bürgern der Eindruck entstehen konnte, dass andere Datenschutzthemen überhaupt keine Rolle mehr spielen. Deswegen bin ich froh, deswegen ist es gut, dass Sie in Ihrem 42. Tätigkeitsbericht anhand sehr vieler Beispiele ausführlich darstellen, in welchen Alltagssituationen die Gefahr besteht, dass Daten unzulässigerweise erhoben, gesammelt, aufgezeichnet und verkauft werden.
Ich möchte drei Beispiele anführen. Die Videoüberwachung im öffentlichen Raum haben meine Kolleginnen und Kollegen schon angesprochen. Man muss es sich einmal vorstellen: Die Überwachung beginnt vielleicht schon, wenn Sie vor die Haustüre gehen und auf die Straße treten, weil Ihr Nachbar nicht nur seinen Hauseingang, sondern auch einen Teil des Bürgersteigs gleich mit überwacht.
Die Überwachung setzt sich fort, wenn Ihr Kind in eine Schule geht, in der gefilmt wird. Dadurch sollen Vandalismus und Zerstörungen in den Schulen verhindert werden. Das ist zwar nachvollziehbar, aber wir wissen nicht, ob es das Richtige ist, dass unsere Kinder in den Schulen – vielleicht sogar schon im Kindergarten – gefilmt und aufgenommen werden. Besonders schwierig wird es, wenn dies in den Toilettenanlagen geschieht.
Wenn Sie dann, genervt von der vielen Überwachung, in den Wald fliehen – wir Deutschen haben ja ein ganz besonderes Verhältnis zu unserem Wald –, vielleicht sogar zu einem Schäferstündchen in den Wald gehen und sich unbeobachtet wähnen, kann es Ihnen passieren, dass Sie wiederum in den Fokus einer Kamera geraten, weil Jäger ihre Futterstellen überwachen oder Naturschützer wissen wollen, ob denn in deutschen Wäldern wieder Luchse unterwegs sind. Dann ist auch die Waldromantik dahin.
Zu einem weiteren Beispiel, das Herr Prof. Dr. Ronellenfitsch beschreibt – es war mir neu, dass es so etwas gibt; ich finde es ziemlich entsetzlich –, dem Ethno-Marketing. Wenn wir als Konsumentinnen und Konsumenten irgendwo etwas einkaufen oder bestellen, dann sollte es dabei gar
keine Rolle spielen, welcher Religionsgemeinschaft wir angehören, zu welchem Kulturkreis wir gehören oder welche ethnische Herkunft wir haben. Sie führen aber ein Beispiel an; da hat tatsächlich ein im Adresshandel tätiges Unternehmen seinen Kunden angeboten, deren Kundendateien daraufhin zu analysieren, zu welchen Religionsgemeinschaften die Kunden gehören, woher sie stammen, all das, was ich eben beschrieben habe. Sie sagen auch ganz klar: Eine solche Dienstleistung ist unzulässig. – Das ist auch gut so. Es ist aber heftig, dass so etwas überhaupt auf dem Markt auftaucht und angeboten wird.
Das letzte Beispiel sind die Datenschutzerklärungen, auf die ich eingehen möchte. Wenn wir als Kunden Webseiten oder Apps besuchen, dann muss der Anbieter verständlich und transparent darlegen und aufklären, welche Daten er von uns erhebt und was er mit diesen Daten anstellt. Sie haben mit anderen Datenschutz-Aufsichtsbehörden eine internationale Aktion gestartet, um in diesem Bereich einmal die Transparenz näher zu untersuchen. Sie haben erfreulicherweise festgestellt, dass deutsche Anbieter sehr gute Datenschutzerklärungen haben, die zum einen leicht zu finden und zum anderen leicht verständlich sind.
Aber es wundert nicht: Die ausländischen Unternehmen haben dagegen teilweise gar keine oder sehr schlechte Datenschutzerklärungen. Bei uns ist dies deshalb so gut, weil wir ein Telemediengesetz haben, das die Anbieter von Webseiten und Apps dazu verpflichtet, diese Informationen an die Kunden weiterzugeben, diese Informationen bereitzustellen. Dieser Umgang mit unseren Daten von internationalen Anbietern von Apps ist deshalb so dramatisch, weil fast jeder, fast jede Bürgerin und jeder Bürger, Apps nutzt und unsere Daten damit erhoben werden.
Dann fragen wir uns: Wer ist denn eigentlich verantwortlich? Es gibt eine Umfrage, und diese hat ergeben, dass 54 % der Verbraucher die Hauptverantwortung bei sich selbst sehen. 36 % sehen in erster Linie den Staat für den Datenschutz im Web verantwortlich und nur 6 % die Unternehmen. Diese Ergebnisse sind, finde ich, sehr kritisch zu sehen; denn sie suggerieren, dass die Unternehmen weniger Verantwortung zu tragen hätten als die Verbraucher selbst. Sicherlich haben wir eine Verantwortung, aber sie kann nicht allein beim Verbraucher liegen.
Richtig ist: Die deutschen Internetnutzer haben in Sachen Medienkompetenz und eigenverantwortlicher Selbstschutz noch Nachholbedarf, wobei zur Medienkompetenz – das muss man ganz deutlich sagen – nicht nur die Kompetenz gehört, mit neuen Medien umzugehen, sondern vor allem die Kompetenz in Sachen Datenschutz oder Umgang mit personenbezogenen Daten; denn daran hängt es oft. Unsere jungen Leute haben überhaupt kein Problem damit, mit der Software und den Geräten umzugehen. Das können die in Windeseile erlernen; da sind die top. Aber was den Datenschutz angeht oder den Umgang mit den eigenen persönlichen Daten, da ist noch viel zu tun.
Ich finde es auch bedenklich, dass sich bei den Verbraucherinnen und Verbrauchern offensichtlich viele damit abgefunden haben, dass von Staat und Wirtschaft nicht mehr viel zu erwarten ist. Unbestreitbar ist: Der Datenschutz hat einen subjektiven Rechtsanspruch begründet und hat einen staatlichen Gewährleistungsauftrag. Das sind die beiden Pole. Deshalb müssen Staat, Politik und die Aufsichtsbehörden die gesetzlichen Grundlagen weiterhin ständig überprüfen und verbessern sowie die Einhaltung kontrollieren. Gleichzeitig müssen wir aber weiterhin an der Me
dienkompetenz der Bevölkerung arbeiten, und das nicht nur im Sinne von Umgang mit den Medien und der Software, sondern auch von Information über die personenbezogenen eigenen Daten und der Verantwortung, damit sparsam und vorsichtig umzugehen.
Herr Prof. Dr. Ronellenfitsch, vielen herzlichen Dank für Ihren Bericht. Wie gesagt, es war eine Freude, ihn zu lesen.
Herr Präsident, meine sehr geehrten Damen und Herren! Lieber Herr Prof. Dr. Ronellenfitsch, in der Sitzung des Unterausschusses Datenschutz hat der Hessische Datenschutzbeauftragte festgestellt, dass es hinsichtlich aller wesentlichen Themen des 42. Tätigkeitsberichts keine Meinungsverschiedenheiten mit der Landesregierung gebe. Für diese klare Aussage ist dem Hessischen Datenschutzbeauftragten zu danken; denn damit bescheinigt er der Landesregierung, dass sie den Datenschutz als eigenständigen Faktor bei Entscheidungen und Maßnahmen berücksichtigt, wenn es um die Verarbeitung personenbezogener Daten geht. Ich danke Ihnen persönlich und Ihren Mitarbeiterinnen und Mitarbeitern für Ihre Tätigkeit und schieße in meinen Dank auch die Mitarbeiterinnen und Mitarbeiter des Landes ein, die mit den personenbezogenen Daten umgehen und dies offensichtlich so machen, dass es keine wesentlichen Verwerfungen gibt. Dafür, wie gesagt, allen, die daran beteiligt sind, ein herzliches Dankeschön.
Die Feststellung des Hessischen Datenschutzbeauftragten hat besonderes Gewicht, da die Verarbeitung von personenbezogenen Daten an vielen Stellen der Landesverwaltung zunehmend eine große Rolle spielt. Die Landesregierung betreibt bereits seit vielen Jahren eine umfassende Modernisierung der Landesverwaltung. Das bedeutet, dass immer mehr Verwaltungsabläufe auf die Nutzung der Datenverarbeitung umgestellt werden, gleichgültig, ob es sich um die Personalverwaltung mittels einer speziellen Software handelt, die elektronische Verwaltung der Akten oder die Kommunikation zwischen den Behörden. In jedem Fall werden stets auch personenbezogene Daten verarbeitet.
Es kommt hinzu, dass die Bürgerinnen und Bürger die Leistungen der Verwaltung zunehmend in Anspruch nehmen möchten, ohne die Behörde persönlich aufsuchen zu müssen. Sie erwarten Angebote in elektronischer Form, die über das Internet abrufbar sind. Es gibt deshalb kaum noch einen Arbeitsbereich in der Landesverwaltung, der ohne automatisierte Datenverarbeitung auskommt. Der Datenschutz muss dabei stets von Anfang an berücksichtigt werden. Das gilt sowohl für die Vorbereitung der rechtlichen Grundlagen der Datenverarbeitung als auch für die Gestaltung der technischen Abläufe. Das ist die Überzeugung der Landesregierung.
Aus diesem Grund beteiligen wir, die Landesregierung, den Hessischen Datenschutzbeauftragten bzw. seine Dienststelle und die Mitarbeiterinnen und Mitarbeiter früh
zeitig an allen Vorhaben mit datenschutzrechtlicher Bedeutung. Daraus hat sich eine gute Zusammenarbeit entwickelt, in der der Datenschutzbeauftragte und seine Mitarbeiter häufig eine beratende Funktion wahrnehmen, gelegentlich auch eine mahnende. Das kann aber schon aufgrund der Aufgaben, die der Datenschutzbeauftragte und die Landesregierung jeweils zu erfüllen haben, auch nicht anders sein. An dieser Stelle will ich Ihnen noch einmal sehr herzlich für die gute Zusammenarbeit danken. Wir sind Ihnen dankbar, dass Sie sich dieser Zusammenarbeit nicht verschließen. Ich will es mit Bond sagen: Sie sind kein Dr. No, sondern Sie nehmen diese Zusammenarbeit mit uns entsprechend an.
Der soeben beschriebene Konsens zwischen der Landesregierung und dem Datenschutzbeauftragten verhindert allerdings nicht, dass es in einzelnen Sachfragen durchaus unterschiedliche Auffassungen darüber geben kann, wie ein bestimmtes Datenverarbeitungsverfahren datenschutzrechtlich zu beurteilen ist. Der 42. Tätigkeitsbericht und die Stellungnahme der Landesregierung geben über solche Fälle detailliert Auskunft. Ein Beispiel hat der Datenschutzbeauftragte selbst im Unterausschuss angesprochen. Es handelt sich um das E-Government-Gesetz des Bundes.
Der Hessische Datenschutzbeauftragte kritisiert in seinem Tätigkeitsbericht, dass durch das E-Government-Gesetz des Bundes das Schriftformerfordernis nicht mehr nur durch die Verwendung der qualifizierten elektronischen Signatur ersetzt werden kann, sondern auch durch weitere, als sicher eingestufte Verfahren, die nach seiner Auffassung jedoch nicht die gleiche Sicherheit bieten. Es handelt sich zum einen um die Bereitstellung von Formularen durch die Verwaltung im Internet. Hier soll die qualifizierte elektronische Signatur ersetzt werden können, wenn ein Identitätsnachweis mittels E-Personalausweis oder E-Aufenthaltsgenehmigung erfolgt. Das zweite Verfahren ist der Versand von Anträgen und Anzeigen mittels De-Mail an die Behörde. Der Hessische Datenschutzbeauftragte erkennt dabei an, dass die Eröffnung von Alternativen zur qualifizierten elektronischen Signatur ein sinnvoller Weg ist, um die elektronische Verwaltung zu fördern.
Die Entscheidung, weitere technische Verfahren zur Ersetzung der Schriftform zuzulassen, wurden vom Bund damit begründet, dass die qualifizierte elektronische Signatur als einzige elektronische Alternative zur Schriftform das wesentliche Hindernis für E-Government-Angebote der öffentlichen Verwaltung ist. Das liegt daran, dass es einerseits im Gegensatz zum Zivilrecht in den öffentlich-rechtlichen Normen eine große Anzahl von gesetzlichen Schriftformerfordernissen gibt. Andererseits hat sich die qualifizierte elektronische Signatur entgegen der ursprünglichen Erwartung in der Breite der Bevölkerung nicht durchgesetzt.
Die Vielzahl der verwaltungsrechtlichen Schriftformerfordernisse und die Tatsache, dass diese in der elektronischen Welt allein durch die sehr wenig verbreitete qualifizierte elektronische Signatur ersetzt werden können, hat nach Ansicht des Bundes dazu geführt, dass in vielen Verwaltungsverfahren derzeit keine ausreichend praktikable Alternative zur Papierform existiert.
Die vom Bund angeführten Gründe sind nach Auffassung der Landesregierung nachvollziehbar. Im Interesse der
Bürgerinnen und Bürger muss das Angebot an Leistungen der Verwaltung, die über das Internet abrufbar sind, erweitert werden. Die Beschränkung auf die qualifizierte elektronische Signatur bildet hierbei ein Hindernis. Die Landesregierung hat deshalb im Bundesrat zusammen mit der Mehrheit der Länder dem E-Government-Gesetz im Juni 2013 zugestimmt.
Die Diskussion des Gesetzentwurfs hat dazu geführt, dass das Sicherheitsniveau der weiteren zur elektronischen Ersetzung der Schriftform zugelassenen technischen Verfahren vom Bund und von den Ländern übereinstimmend als ausreichend eingestuft wurde.
Ein identisches Sicherheitsniveau haben Bund und Länder als nicht erforderlich angesehen. Auch wenn die vom Hessischen Datenschutzbeauftragten vorgetragenen Bedenken also nicht zu einer Gesetzgebung in seinem Sinne geführt haben, sind sie nicht unbeachtlich. Mit seinem Beschluss hat der Bundesrat nämlich zugleich eine Entschließung gefasst, in der er die Bundesregierung auffordert, eventuell erforderliche Nachbesserungen im Rahmen der Evaluierung des Gesetzes vorzunehmen. Sofern sich in der Praxis die von unserem Datenschutzbeauftragten geäußerten Bedenken bestätigen sollten, müssten die Regelungen des E-Government-Gesetzes in dieser Hinsicht noch einmal überdacht werden.
Das Beispiel zeigt, dass sich Unterschiede in den Auffassungen zwischen unserem Datenschutzbeauftragten und der Landesregierung aufgrund der jeweils verschiedenen Zielsetzungen ergeben können, jedoch auch in solchen Fällen eine für den Datenschutz fruchtbare Diskussion daraus entsteht oder entstehen kann.
In diesem Sinne betrachtet die Landesregierung den in Kürze zu erwartenden nächsten Tätigkeitsbericht des Hessischen Datenschutzbeauftragten als Aufschlag für die Fortsetzung der gemeinsamen Arbeit für den Datenschutz.