Das geht nicht gegen das Volk, deswegen will ich das erwähnen. Souverän ist, wer im Ausnahmezustand noch entscheiden kann. Wenn der Widerstand gegen Entscheidungen ein kritisches Maß überschritten hat, wenn eine kritische Zahl überschritten ist, ist nichts mehr durchzuziehen.
Wir müssen versuchen, die Akzeptanz der Bevölkerung zu erhalten. Akzeptanz setzt Vertrauen und Kontrolle voraus, Vertrauen in die staatlichen Instanzen. Das Vertrauen ist offensichtlich gegeben; denn die Bevölkerung in Deutschland kommt in bewundernswerter Weise den Anordnungen nach, was man früher gar nicht für möglich gehalten hätte. Das ist mit ein Verdienst der Kontrolle. Ein effektiver Datenschutz ist ein Bestandteil dafür, dass das Vertrauen der Bevölkerung in die Staatsgewalt erhalten bleibt.
Deswegen darf der Datenschutz zeitweilig zurückgefahren werden. Es gibt viel Wichtigeres als den Datenschutz, wenn es um Leben geht. Es muss aber die Garantie bestehen, dass die Kontrollen, wenn die Schwierigkeiten vorbei sind, wieder in den alten Zustand zurückkehren. Informationsfreiheit gehört auch noch dazu.
Die Existenz des hessischen Datenschutzbeauftragten trägt essenziell zu diesem Vertrauen bei und muss durch das Funktionieren dieser Behörde unter Beweis gestellt werden. Das ist bislang geschehen und ist dem Engagement und der Sachkunde meiner Mitarbeiter in der Behörde des Datenschutzes zu verdanken. Dafür möchte ich mich an dieser Stelle ausdrücklich bedanken.
Ich komme jetzt endgültig zum Schluss. Als man mich zum ersten Mal fragte, ob ich mir die Übernahme des Amtes eines Datenschutzbeauftragten vorstellen könne, machte ich meine Zusage von einer positiven Entscheidung aller Landtagsfraktionen abhängig und stellte mich den Fraktionen als Verfechter eines freiheitlichen Rechtsstaats vor, den ich im Anschluss an Otto Mayer noch immer als „Staat des wohlgeordneten Verwaltungsrechts“ verstehe. Ich war und bin kein Datenschutzlobbyist, sondern sehe diesen als abwägungsrelevanten Teil der Gesamtrechtsordnung an.
Die Wahl meines Nachfolgers betrachte ich als Glücksfall. Er ist aus meiner Sicht kein Streiter ausschließlich für den Datenschutz. Aber er ist einer der profiliertesten deutschen Experten des Datenschutzrechts. Ich hielt mich zwar für verpflichtet, in der ersten Phase der Krisenbewältigung an Bord zu bleiben und Kurs zu halten. In absehbarer Zeit werden aber die Impfungen beginnen können. Ich gehe davon aus, dass zu diesem Zeitpunkt auch die Behörde des hessischen Datenschutzbeauftragten in wohlgeordnetem Zustand übergeben werden kann. Ich habe daher den Wunsch geäußert, zum 28. Februar 2021 meine Tätigkeit einzustellen. Diesem Wunsch wurde entsprochen.
Ich möchte aber noch eine persönliche Schlussbemerkung machen. Ich halte es wie Danny Rapp, den niemand von Ihnen kennt, von Danny & the Juniors, dessen Titel war „I don‘t care, what people say: Rock ’n’ Roll is here to stay“. Das gilt auch für den Datenschutz. – Vielen Dank.
Vielen Dank, Herr Prof. Ronellenfitsch für den Bericht. – Ich darf jetzt die Aussprache eröffnen und als erstem Redner Hartmut Honka, CDU-Fraktion, das Wort erteilen. Wir haben vereinbart, dass die Fraktionen fünf Minuten Redezeit haben.
Hochverehrter Herr Präsident, meine Damen und Herren! Sehr geehrter Herr Prof. Ronellenfitsch, gestatten Sie mir, dass ich mit Ihnen anfange. Sie haben es eben selbst gesagt, Sie verlassen leider zum Ende des Monats Februar Ihr Amt. Ich kann es gut verstehen, dass Sie aus Altersgründen aufhören, wie Sie uns mitteilen. Aber ich glaube, Sie haben es sowohl an der Aufmerksamkeit als auch am Applaus gemerkt: Sie sind in diesem Haus sehr geschätzt, nicht nur das, was Sie sagen, sondern auch, wie Sie es sagen.
All die Jahre – das darf ich persönlich sagen –, die wir zusammen im Unterausschuss Datenschutz oder jetzt im Ausschuss für Digitales und Datenschutz verbracht haben, und das Gespräch miteinander, die Diskussion über das Thema, habe ich immer sehr geschätzt. Ich glaube, das ist das, was viele in diesem Ausschuss so empfinden. Das ist das Wichtige: das Miteinander in der Sache.
Nachdem ich schon einige Jahre das Thema für meine Fraktion begleiten darf und ich nicht nur den Bericht für 2019 lese, sondern mir auch andere Berichtszeiträume davor anschaue, wie häufig wir viele Probleme darin finden, die aus Privatunternehmen stammen, darf ich jetzt auch sagen: Es gibt Datenverstöße oder Datenabfluss in ganz großem Umfang aus Privatunternehmen, was in der Öffentlichkeit einmal mehr und einmal weniger Beachtung findet, leider häufig weniger. Das könnten wir aber alles selbst mit beeinflussen, wenn wir uns selbst mehr bewusst wären – alle, nicht nur wir hier im Saal, sondern alle in unserem Land, die wir jeden Tag Daten erzeugen –, wie wir mit unseren Daten umgehen.
Da ist nicht nur die Frage, warum die Landesregierung bei vielen Ihrer Anmerkungen Zustimmung signalisieren kann. Ich glaube auch, gerade in einem demokratischen Rechtsstaat ist der Datenschutz im Bereich des Staates ein sehr elementares, aber auch sehr hoch geschätztes Gut. Wir alle machen uns hier, wenn wir nicht nur über den Datenschutz, sondern auch über Gesetze sprechen, Gedanken über den Datenschutz im Bereich des Staates, im Bereich der staatlichen Datenverarbeitung, egal um welches Ressort es geht.
Das ist, wenn wir dann über den privaten Datenschutz reden, leider häufig nicht der Fall. Das findet mehr außerhalb der Öffentlichkeit statt. Dort ist Ihre Kontrollfunktion dann eher noch wichtiger, weil dort ganz viel gerade bei den großen amerikanischen Datenunternehmen zusammenfließt, wo aus jedem kleinen Häppchen vielleicht erst einmal nichts wird. Aber wenn man alle die kleinen Häppchen nebeneinanderlegt, wird ein riesiges Buffet daraus: das berühmt-berüchtigte Bild des gläsernen Bürgers, der bei vielen datenintensiven Unternehmen Realität ist. Viele fürchten sich davor, dass es bei unserem Staat auch so sein könnte. Aber ich glaube, wir müssen eindeutig sagen, dass der Fokus auch in der Öffentlichkeit mehr auf den Privatunternehmen liegen muss.
Wenn ich das so sage, fällt mir immer wieder ein Beispiel ein, das auch in diesem Bericht wieder enthalten war: Datenschutz im Gesundheitswesen, dass immer wieder einmal Kartons mit Patientenakten vergessen werden. Heute, im Jahre 2020, glauben wir alle, dass es das nicht mehr geben darf. Trotzdem passieren solche Dinge immer noch.
Da ist es gut, dass wir mit Ihnen bisher einen Vertreter an der Spitze der Behörde hatten, der erst einmal auf die Aufklärung setzt und erst im zweiten Schritt auf die Bestrafung. Ich glaube, Aufklärung und das Schaffen von Bewusstsein, wie man sicher mit Daten umgeht, sind wichtig. Denn wir alle wollen mit Daten umgehen. Wir alle müssen mit Daten umgehen, und wir sind in einer digitalen Welt auch darauf angewiesen, dass wir mit Daten arbeiten können. Da ist das Schaffen von Bewusstsein für den sicheren Umgang wichtiger, als hinterher zu sagen, was man nicht gedurft hätte. Es ist besser, vorher die Möglichkeit zu eröffnen, dass man sicher und elementar damit umgehen kann. Das ist das Wichtige.
Gestatten Sie mir zum Ende meiner Redezeit, noch einem Ausdruck zu verleihen: Wir alle hätten dieses Jahr gerne 50 Jahre Datenschutz in Hessen gefeiert. Hessen war vor 50 Jahren ein Vorreiter. Dass wir das dieses Jahr nicht tun konnten, ist sehr bedauerlich; denn solche Feiertage schaffen immer wieder Bewusstsein. Wir sehen das bei staatlichen Feiertagen. Insofern hätte es uns gut angestanden. Ich bedauere es wirklich sehr, dass wir es nicht haben feiern können. Schließlich stellen wir alle fest: Datenschutz wird nicht nur vor Ort geprägt, er wird gerade von oben herab geprägt. Damit meine ich eher Brüssel.
Sie haben die Datenschutz-Grundverordnung angesprochen, die für Sie und Ihre Behörde eine ganz andere Arbeitsweise bedeutet hat, an einzelnen Stellen auch viel mehr Aufwand bedeutet hat. Für uns als Landesgesetzgeber und für die Landesregierung ergibt sich die Pflicht, sich viel stärker in Brüssel einzumischen, wenn dort die neuen Regeln ausgedacht werden. Ich erwähne nur die ePrivacyVerordnung, die uns leider fehlt, die wann auch immer das Licht der Welt erblicken wird. Denn am Ende müssen unsere Behörden und unsere Unternehmen hier im Land damit leben. Wir müssen damit handeln können. Daher müssen wir das für die Zukunft auch stark im Fokus halten und müssen dort aktiv einschreiten; denn ansonsten wäre es leider zu spät und für uns nur noch ein Reagieren und kein Handeln am Anfang.
In diesem Sinne wünsche ich Ihnen, Herr Prof. Ronellenfitsch, alles Gute für die Zukunft, vor allem gesundheitlich, auf dass wir in einer Zeit ohne Maske das Jubiläum nachfeiern können, dann mit Ihnen als dem ehemaligen Datenschutzbeauftragten, mit dem wir gerne zusammengearbeitet haben. – Vielen Dank.
Vielen Dank, Herr Kollege Honka. – Die nächste Rednerin ist Frau Abg. Gersberg für die Fraktion der SPD.
Sehr geehrter Herr Präsident, meine sehr verehrten Damen und Herren! Sehr geehrter Herr Prof. Ronellenfitsch, zu
nächst möchte ich mich auch im Namen der SPD-Fraktion sehr herzlich bei Ihnen bedanken für die Arbeit im letzten Jahr, aber auch in allen Jahren vorher. Sie waren es, der Hessen durch die Neuerungen der Datenschutz-Grundverordnung geführt hat. Ich weiß, dass es sehr turbulente Jahre waren, mit sehr viel Arbeitsbelastung für Sie und Ihre Behörde. Vielen Dank dafür.
Auch jetzt in der Corona-Pandemie waren es turbulente Monate für den Datenschutz. Nicht nur bei der CoronaApp hat der Datenschutz eine Rolle gespielt, sondern auch in sehr vielen anderen Bereichen, z. B. bei den Restaurants und Cafés. Dort war die Frage: Jetzt müssen wir Gästelisten führen. Inwieweit müssen wir das machen? Dürfen wir sie offen auslegen? Dürfen wir das nicht? Wie lange müssen wir die Daten speichern? Wann müssen wir sie wieder löschen?
Auch Arbeitgeberinnen und Arbeitgeber haben sich Fragen gestellt. Viele ihrer Mitarbeiterinnen und Mitarbeiter sind ins Homeoffice gegangen. Was müssen wir da zum Thema Datenschutz beachten? Aber auch die Lehrenden an den Schulen: Sie mussten Fernunterricht mit ihren eigenen Geräten gestalten, weil sie in Hessen von ihrem Arbeitgeber keine zur Verfügung gestellt bekommen haben. Da war die Frage: Wie können wir die Daten der Schülerschaft schützen? Wie können wir unsere eigenen Daten schützen?
Der Datenschutzbeauftragte hat bei vielen dieser Fragen zumindest ein Auge zugedrückt, und das finde ich auch richtig so. Es galt zunächst einmal, den Laden am Laufen zu halten. Aber viele der hier gestellten Fragen werden uns weiter begleiten; denn ich glaube, dass Homeoffice auch nach Corona stärker in Anspruch genommen wird als vorher. Ich glaube – es muss auch so sein –, dass an Hessens Schulen digitaler unterrichtet wird. Auch hier muss der Datenschutz eine Rolle spielen.
Da möchte ich jetzt einen kleinen Kritikpunkt anbringen. Seit vielen Jahren wird immer wieder gefragt: Was ist mit dem hessischen Schulportal? Ist es datenschutzkonform? – Hierzu liegt immer noch kein abschließender Bericht vor, was, glaube ich, nicht an Ihnen liegt, sondern daran, dass Ihnen kein abgeschlossenes Konzept vorgelegt wird, das Sie bewerten könnten.
Es wird immer damit geworben, dass schon über die Hälfte der Schulen in Hessen mit dem Schulportal arbeitet. Das geschieht ohne datenschutzrechtliche Bewertung. Im Bericht steht, „grundsätzlich“ sei es datenschutzkonform. – Für mich heißt „grundsätzlich“: nicht in Gänze. Daher finde ich es problematisch, weil man dadurch die Verantwortung vom Land Hessen auf die Schulen herunterbricht, und das ist nicht in Ordnung.
In Ihrem Bericht sprechen Sie viele einzelne Fälle an, die Sie beobachtet haben, die Sie korrigiert haben. Ich glaube, dass wir in Hessen jetzt stark in die Zukunft sehen müssen. Wir müssen sehen, wohin die Diskussion in Richtung Datenschutz geht. Unter Expertinnen und Experten wird gerade sehr viel diskutiert, z. B. ob man den Datenschutz zentral regeln oder föderal belassen sollte. Was ist mit dem Beschäftigtendatenschutz? Wie muss man ihn ausgestal
ten? Was ist mit der künstlichen Intelligenz? Wie kann man sie mit einem effektiven Datenschutz begleiten?
Wichtig ist: Wie können wir Verbraucherinnen und Verbraucher am besten schützen? Ein Beispiel dazu haben wir vor einigen Wochen diskutiert. Die Schufa wollte für Stromkonzerne Daten von Kundinnen und Kunden sammeln, um festzustellen und den Stromanbietern darzulegen, welche dieser Kundinnen und Kunden besonders häufig den Stromanbieter wechseln. Das ist etwas, was Kundinnen und Kunden durchaus tun dürfen und womit geworben wird. Das Ziel war aber, dass man diesen Kundinnen und Kunden in Folge keinen Vertrag mehr anbietet. Das ist natürlich nicht im Sinne des Erfinders, und dagegen muss man vehement und sofort angehen.
Sehr geehrter Herr Präsident, liebe Kolleginnen und Kollegen, ich möchte an dieser Stelle noch etwas zur Art und Weise der Wahl des neuen Datenschutzbeauftragten sagen, die am morgigen Tag stattfinden soll. Ich halte den gesamten Vorgang für wenig demokratisch und nicht sehr fair gegenüber der Opposition; denn als Opposition haben wir im Ausschuss immer wieder gefragt: Wann wird eine ordentliche Wahl eines Datenschutzbeauftragten stattfinden? Darauf haben wir überhaupt keine Antwort bekommen. Jetzt liegt sehr kurzfristig ein Wahlvorschlag vor, ohne Vorwarnung, ohne Begründung, ohne die Möglichkeit, dazu im Ausschuss zu diskutieren.
Meine Damen und Herren, Datenschutz ist eines der zentralen Themen unserer Zukunft, und die Funktion der oder des Datenschutzbeauftragten ist von großer Bedeutung. Ich finde, der Koalition hätte es gut angestanden, die Opposition einzubinden. Ich bin mir sicher, wir hätten über Fraktionsgrenzen hinweg einen gemeinsamen Vorschlag für eine zukunftsweisende Kandidatin oder einen zukunftsweisenden Kandidaten gefunden.
Sehr geehrter Prof. Ronellenfitsch, Sie haben im Ausschuss und hier in Ihren Reden stets dafür gekämpft, dass das Thema Datenschutz weiter föderal anzugehen ist. Ich kann Ihnen zusagen, dass wir bei allen Debatten, die uns in der Zukunft begegnen werden, Ihre Argumente stets im Hinterkopf behalten werden. Ich wünsche Ihnen für Ihre Zukunft alles Gute. Noch einmal vielen Dank.
Vielen Dank, Frau Gersberg. – Der nächste Redner ist der Abg. Leveringhaus für die Fraktion BÜNDNIS 90/DIE GRÜNEN.
Sehr geehrter Herr Präsident, liebe Kolleginnen und Kollegen! Sehr geehrter Herr Prof. Dr. Ronellenfitsch, auch ich möchte – es gehört sich so – zu Beginn meiner Rede Ihnen und natürlich Ihrem gesamten Mitarbeiterinnen- und Mitarbeiterstab recht herzlich für die Arbeit danken, die Sie geleistet haben und die sich in den beiden Tätigkeitsberichten manifestiert.
Auch ich war im Dilemma, wie man damit umgeht. Wir haben einen Tätigkeitsbericht für 2019, wir haben aber ganz viel Datenschutzrelevantes im Jahr 2020 erlebt. Ich präsentiere Ihnen jetzt meine Lösung und fange mit einer Überschrift des Deutschlandfunks an: „Eine Idee wird 50 – Wie in Hessen der Datenschutz erfunden wurde“.
Leider – ich sage ausdrücklich: leider – ist es bei dieser und ähnlichen Schlagzeilen geblieben; denn die Feier musste leider abgesagt werden. Sie hatten es auch schon erwähnt. Ich hoffe, sie wird so schnell wie möglich nachgeholt; denn das Thema Datenschutz hätte es verdient. Auch wenn Sie dann wahrscheinlich nicht mehr im Planungsstab dabei sein werden, auch wenn Sie dann nicht mehr Datenschutzbeauftragter sind, können wir vielleicht doch noch ein Konzert von Ihnen und Ihrer Band erleben.
Wenn man sich die vorliegenden Fallzahlen anschaut, die im Bericht stehen – sowohl der Beschwerden als auch der von Ihnen getroffenen Maßnahmen –, so zeigt sich: Auch nach 50 Jahren haben wir noch viel Arbeit vor uns. Es ist noch viel zu tun. Die Stelle des Beauftragten für Datenschutz – und seit ein paar Jahren auch für Informationsfreiheit – ist in einer sich digitalisierenden Gesellschaft wichtiger als je zuvor.
Es zeigt sich auch, dass sich manche Evergreens, wie ich sie nennen will, jährlich wiederholen und mit der Digitalisierung wenig zu tun haben. Zwei Beispiele will ich nennen neben dem, was mein Kollege Hartmut Honka schon gesagt hat mit den Kisten, die irgendwo abgestellt werden. Es sind die anlasslose Videoüberwachung des öffentlichen Raumes und die Speicherung von zu vielen Daten in Geschäften oder in Behörden.
Hier würde ich mir wünschen, dass wir einerseits den gesunden Menschenverstand, aber auch die goldene Regel der praktischen Ethik anwenden, hier im negativen Sinne: Was du nicht willst, dass man dir tu, das füg auch keinem andern zu. – Denn wer von uns möchte in der Öffentlichkeit auf Schritt und Tritt gefilmt werden? Wer von uns möchte zu viele Daten preisgeben, um eine Sache zu erhalten oder ein Geschäft zu erledigen? Da müssen wir nicht einmal über die DSGVO und die Datensparsamkeit reden. Wie gesagt, es sollte einem schon der gesunde Menschenverstand sagen.