|
Jahresbericht 1998
|
|||||||||||
 |
Einleitung |
 |
1. |
RECHTLICHE RAHMENBEDINGUNGEN |
1.1 |
Europa und Deutschland |
Mit Bedacht haben wir die Überschrift über dieses Kapitel gegenüber den Vorjahren geändert: Europa steht nunmehr beim Überblick über die Rechtsentwicklung an erster Stelle. Mit dem 24. Oktober 1998 ist die Frist abgelaufen, innerhalb derer die Bundesrepublik verpflichtet gewesen wäre, die Europäische Datenschutzrichtlinie (EU-Richtlinie) [5] in innerdeutsches Recht umzusetzen. Dies ist nicht gelungen, vielmehr wurde in der vergangenen Legislaturperiode nur ein Referentenentwurf für eine Neufassung des Bundesdatenschutzgesetzes (BDSG) vorgelegt, der über die Beratung mit den Wirtschaftsverbänden nicht hinausgekommen ist. Die Folge ist, dass nunmehr entsprechend der Rechtsprechung des Europäischen Gerichtshofes und auch der deutschen Gerichte die Richtlinie in einem bestimmten Umfang unmittelbare Wirkung entfaltet.
Insbesondere sind alle staatlichen Stellen verpflichtet, auf die Durchsetzung der einzelnen Bestimmungen der Richtlinie hinzuwirken, soweit diese unmittelbar anwendbar sind ( "self executive") und soweit das bestehende Recht eine entsprechende Anwendung zulässt ("vertikale Wirkung"). Dies betrifft vor allem die Auslegung von Generalklauseln, die ja das ganze Datenschutzrecht durchziehen. So wird bei der Beurteilung der schutzwürdigen Interessen der Betroffenen (z.B. § 28 Abs.1, Satz 1 Ziffer 2 BDSG) die Richtlinie zu beachten sein. Dies betrifft vor allem die Verarbeitung der "sensiblen Daten", also der Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit und Sexualleben (Art.8 Abs.1 EU-Richtlinie).
Darüber hinaus kommen den Betroffenen in der Übergangszeit erweiterte Rechte auf Widerspruch gegen die rechtmäßige Verarbeitung von Daten (Art.14 Abs.1a EU-Richtlinie) und auf erweiterte Informationen von den verantwortlichen Stellen (Art.10c, 11 Abs.1c EU-Richtlinie) zu. Zu beachten ist auch, dass die Begriffsbestimmungen der Richtlinie teilweise stark von denjenigen des Bundesdatenschutzgesetzes abweichen.
Klärungsbedürftig ist, in welchem Umfang die unmittelbare Wirkung Verwaltungen betrifft, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen. Die EU-Richtlinie nennt hier ausdrücklich Titel V und VI des Vertrags über die Europäische Union [LINK], insbesondere "betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (merkwürdigerweise "einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt") und die Tätigkeiten des Staates im strafrechtlichen Bereich" (Art.3 Abs.2 EU-Richtlinie). Die Beispiele ziehen einen engen Rahmen, so dass für das deutsche Recht davon auszugehen ist, dass außer dem Verteidungsressort nur Polizei und Strafverfolgungsbehörden ausgenommen sind. Zu berücksichtigen ist, dass mit der Ratifizierung und dem In-Kraft-Treten des Amsterdamer Vertrages[6] weitere Bereiche in die "erste Säule", in der das Gemeinschaftsrecht in vollem Umfang gilt, hinüberwandern werden.
Anders zu beurteilen ist die Frage, inwieweit aus der Datenschutzrichtlinie Konsequenzen für Privatunternehmen zu ziehen sind ("horizontale Wirkung"). Der Europäische Gerichtshof hat hier im Gegensatz zur vertikalen Wirkung bisher Zurückhaltung geübt, wenn auch bislang keine Entscheidung bekannt ist, die mit hinreichender Klarheit sagt, dass im Verhältnis der Bürger untereinander bei nicht rechtzeitiger Umsetzung einer Richtlinie überhaupt keine Auswirkungen bestehen[7]. Jedenfalls sind die Aufsichtsbehörden als öffentliche Stellen wegen der sie betreffenden vertikalen Wirkung verpflichtet, auch gegenüber nichtöffentlichen Stellen darauf hinzuwirken, dass die Grundsätze der Richtlinie Beachtung finden. Für den besonders prekären Bereich des Datenexports in Drittländer haben die Aufsichtsbehörden in einer vom Berliner Datenschutzbeauftragten geleiteten Arbeitsgruppe hierfür eine Vorgehensweise abgesprochen[8].
Die allgemeine Datenschutzrichtlinie wird zunehmend ergänzt durch speziellere Richtlinien, die zumindest teilweise weitere datenschutzrechtliche Vorgaben für den deutschen Gesetzgeber enthalten: Gleichzeitig mit der EU-Datenschutzrichtlinie hätte die Telekommunikationsrichtlinie[9] umgesetzt werden sollen, dies ist ebenfalls nicht geschehen, sondern erst im Rahmen der Neufassung der Telekommunikations-Datenschutzverordnung [10] geplant. Ebenfalls in Kraft ist die Fernabsatzrichtlinie [11] mit datenschuztrechtlich relevanten Vorschriften über die Information des Kunden, den Abschluss des Vertrags im Netz oder die Zahlung mit einer Kreditkarte; eine besondere Richtlinie für den Fernabsatz bei Finanzdienstleistungen ist in Vorbereitung. Die Abwicklung des Geschäftsverkehrs im Internet ("e-commerce") und die hierfür unentbehrliche digitale Signatur, die im deutschen Recht bereits eine Regelung erfahren hat[12], sind weitere Gegenstände künftiger europäischer Gesetzgebung.
Rechtsentwicklung in Deutschland
Die Weiterentwicklung des deutschen Datenschutzrechtes stand naturgemäß im Vordergrund der rechtspolitischen Diskussionen des vergangenen Jahres. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hatte mehrfach in Beschlüssen Forderungen für die Anpassung an die EU-Richtlinie erhoben [13]. Sie beinhalten nicht nur das Anliegen, den von der Richtlinie vorgegebenen Rahmen für die Ausweitung des informationellen Selbstbestimmungsrechts so weit wie möglich zugunsten des Bürgers zu nutzen, sondern auch, die Gesetzgebung zum Anlass zu nehmen, angemessenere Regelungen für den Umgang mit der Informationstechnik zu finden. Der von der vorherigen Bundesregierung vorgelegte Entwurf entsprach dem nur sehr unvollkommen.
Die zögerliche Behandlung der Umsetzung hat verschiedenen Institutionen Gelegenheit gegeben, die Ausgestaltung des künftigen Datenschutzrechtes grundsätzlicher zu betrachten.
Der 62. Deutsche Juristentag, der vom 22. bis zum 25. September 1998 in Bremen stattfand, befasste sich in seiner Abteilung Öffentliches Recht mit der Fragestellung: "Geben moderne Technologien und die europäische Integration Anlass, Notwendigkeit und Grenzen des Schutzes personenbezogener Informationen neu zu bestimmen?". Prof. Michael Kloepfer, Ordinarius für Staats- und Verwaltungsrecht an der Humboldt-Unversität zu Berlin, hatte das Gutachten erstattet, das er in 46 Thesen mit weit reichenden Vorschlägen zur Fortentwicklung des Datenschutzrechtes zusammenfasste [14]. Im Mittelpunkt steht die These, bei einer grundsätzlichen Neuorientierung müsse "der Datenschutz als konstitutiver Teil einer umfassenden Informationsordnung begriffen werden, für das das - auf den Gedanken der Informationsgerechtigkeit ausgerichtete - Informationsrecht den rechtlichen Rahmen bietet" [15]. Hieraus leitete Kloepfer den Vorschlag ab, ein Informationsgesetzbuch zu entwickeln, das "als übergreifende, rechtsbereinigende und -harmonisierende Kodifikation des Informationsrechts des Bundes zu konzipieren wäre" und in dem ein "Bundesdatengesetz" eine Teilkodifikation darstellen würde [16]. Er griff damit eine Idee auf, die erstmals im Jahresbericht 1990 des Berliner Datenschutzbeauftragten entwickelt worden war [17]. Nach längeren Diskussionen fasste die Abteilung Öffentliches Recht eine Reihe von Beschlüssen, die dem Votum Kloepfers folgten [18]. Die Idee eines Informationsgesetzbuchs wurde aufgegriffen, bei den Schutzstandards eine Differenzierung nach Grundrechtspositionen (z.B. Medienfreiheit, Wissenschaftsfreiheit, Glaubensfreiheit) bzw. nach spezifischen Sachstrukturen (z.B. Gesundheits- und Sozialrecht, Strafprozessrecht) gefordert, technischer Selbstschutz und Selbstregulierung (z.B. Datenschutz-Audit, Codes of conduct) wurden als Eckpfeiler der Neuregelung betrachtet. Über Kloepfer hinausgehend wurde empfohlen, "ein grundsätzlich einheitliches materielles Datenschutzrecht für den öffentlichen und den privaten Bereich zu schaffen, dessen innere Differenzierungen sich nach den Unterschieden in der Schutzbedürftigkeit unter Beachtung der Selbstbestimmung (Freiwilligkeit) und des Gefahrenpotentials zu richten habe - Kloepfer hatte zwar gefordert, den Schutz vor privater Datenmacht erheblich zu verbessern, aber die Auffassung vertreten, dieser dürfe dem Schutz der Datenmacht öffentlicher Stellen nicht gleichartig, vielmehr nur gleichwertig sein [19]. Eine klare Absage erteilte der Juristentag dem Versuch, den Gebrauch von Verschlüsselungstechniken durch entsprechende rechtliche Regelungen zu beschränken.
In ähnlich grundsätzlicher Weise äußerten sich im November fünf Landesdatenschutzbeauftragte, unter ihnen der Berliner Datenschutzbeauftragte, und formulierten in einem Appell an die neue Bundesregierung 10 Punkte für einen Politikwechsel zum wirksamen Schutz der Privatsphäre [20]. Neben der Forderung, in das Grundgesetz ein Grundrecht auf Datenschutz aufzunehmen, wird die umfassende Modernisierung und Effektivierung der Datenschutzgesetze verlangt, in der bereichsspezifischen Datenschutzgesetzgebung müssten statt der bisher üblichen Aufblähung von Fachgesetzen, die zugleich die datenschutzrechtliche Substanz aushöhlen, Rechtsgarantien gewährleistet werden, der Datenschutz im privaten Bereich müsse rechtlich und organisatorisch ausgebaut werden.
In der SPD-Fraktion des Bundestages wurde ein Eckwertepapier entwickelt, das zur öffentlichen Diskussion gestellt wurde [21] und das bei den bevorstehenden neuerlichen Novellierungsbemühungen in die Erörterungen einfließen wird. Dies wird sicher auch für den Entwurf eines Bundesdatenschutzgesetzes der Fraktion Bündnis 90/Die Grünen aus dem letzten Bundestag [22] zutreffen, der dort nicht mehr beraten wurde, dessen viele weiterführende Gedanken aber Beachtung finden sollten.
Die letzten realisierten datenschutzrechtlich relevanten Gesetzgebungsvorhaben der vergangenen Legistaturperiode waren nicht von der Zielsetzung der Fortentwicklung des Datenschutzrechtes, sondern von dem Bemühen geprägt, im Interesse der öffentlichen Sicherheit die informationelle Selbstbestimmung einzuschränken. In mehreren Änderungen der Strafprozessordnung (StPO) wurde nach vielen Jahren der Diskussion der Große Lauschangriff eingeführt, wobei auch das Grundrecht auf Unverletzlichkeit der Wohnung beschränkt wurde [23]; die Nutzung von Daten über die Gene von Straftätern (DNA-Analyse) wurde auch über laufende Ermittlungsverfahren hinaus erlaubt und beim BKA eine zentrale Gendatei eingeführt [24]. Zuvor war bereits das Begleitgesetz zum Telekommunikationsgesetz [25] in Kraft getreten, das die Möglichkeiten der Telefonüberwachung weit über den Bereich der Anbieter öffentlicher Telekommunikationsnetze ausdehnte - ohne allerdings den archaischen § 12 Fernmeldeanlagengesetz zu ändern, der die Weitergabe von Daten über die "Umstände der Telekommunikation" (also z.B. wer mit wem wann und wo telefoniert hat) ohne inhaltliche Voraussetzungen gestattet [26]. Die seit Jahren in den Schubläden, zuletzt des Bundestages, liegende Novelle der StPO, die dort erstmals datenschutzrechtliche Vorschriften schaffen soll, ist hingegen wieder nicht vorangekommen.
Den Sicherheitsinteressen dienten auch Änderungen außerhalb der StPO: So wurde dem Bundesgrenzschutz die Befugnis eingeräumt, verdachtsunabhängige Kontrollen auf Verkehrswegen durchzuführen [27], die Sozialbehörden wurden ermächtigt, Angaben über den derzeitigen und künftigen Aufenthaltsort von Sozialleistungsempfängern an die Sicherheitsbehörden zu übermitteln [28].
Zwei andere große Bereiche der Justiz, bei denen seit vielen Jahren datenschutzrechtliche Defizite bestanden, verfügen seit dem vergangen Jahr über spezialrechtliche Regelungen: Am 1. Juni ist endgültig das Justizmitteilungsgesetz in Kraft getreten [29], am 1. Dezember 1998 das Vierte Gesetz zur Änderung des Strafvollzugsgesetzes, das die Datenverarbeitung im Strafvollzug nunmehr auf eine bereichsspezifische Grundlage stellt [30].
Erneut keinen Fortschritt gab es bei der datenschutzgerechten Gestaltung der Abgabenordnung, der Verfahrensvorschrift der Steuerverwaltung, für die damit weiterhin der Datenschutz unbekanntes Terrain bleibt. Das Steuergeheimnis alleine reicht nicht aus: Es schützt zwar vor der unbefugten Offenbarung von Daten, räumt den Betroffenen aber keinerlei Rechte gegenüber der Steuerverwaltung ein. Dieser Zustand ist angesichts der tiefen Eingriffe, die die Steuerverwaltung in die informationelle Selbstbestimmung vornimmt, nach wie vor nicht akzeptabel.
In der Rechtsprechung ist wiederum eine Vielzahl von Entscheidungen zu Einzelfragen mit datenschutzrechtlichem Inhalt gefällt worden. Einen gewissen Schwerpunkt bildete die Frage, in welchem Umfang pauschale Einwilligungserklärungen abverlangt werden dürfen und wie diese im Verhältnis zum Recht der Allgemeinen Geschäftsbedingungen stehen [31].
Das Bundesverfassungsgericht hat die mit Spannung seit Jahren ausstehende Entscheidung zu der Frage noch nicht getroffen, ob die Befugnis des Bundesnachrichtendienstes, auch zu Zwecken der Strafverfolgungsbehörden Fernmeldeverbindungen abzuhören und diesen die Ergebnisse mitzuteilen, verfassungsrechtlichen Bestand hat. Allerdings fand im Dezember eine mündliche Verhandlung statt, bei der auch die Datenschutzbeauftragten gehört wurden. Von der im nächsten Jahr erwarteten Entscheidung werden wichtige Erkenntnisse zur Bedeutung des Fernmeldegeheimnisses ausgehen. Weitere Entscheidungen des Gerichts zur Telefonüberwachung und zum Recht auf Auskunft über Daten der Polizei und des Verfassungsschutzes stehen ebenfalls noch aus.
International und national wird mit großer Aufmerksamkeit verfolgt, wie im deutschen Recht mit der erschreckenden Aktenhinterlassenschaft des Staatssicherheitsdienstes der ehemaligen DDR umgegangen wird. Mit dem Stasi-Unterlagen-Gesetz vom 20. Dezember 1991 wurde ein bislang gut funktionierender Ausgleich zwischen den Interessen der Allgemeinheit an der Aufarbeitung der Stasi-Hinterlassenschaft und den Rechten Betroffener und Dritter gefunden. Zunächst stand im Mittelpunkt der öffentlichen Aufmerksamkeit die nunmehr erstmalig gegebene Möglichkeit, für die Betroffenen, d.h. die von der Staatssicherheit Ausgeforschten, die von einem jenseits jeglicher rechtsstaatlicher Normen agierenden Geheimdienst gesammelten Informationen einsehen zu können. Die Betroffenen konnten feststellen, wer, was, wann und bei welcher Gelegenheit an Informationen über sie zusammentrug und der DDR-Staatssicherheit zutrug.
Der Gesetzgeber hatte aber auch erkannt, dass eine faktisch unbegrenzte Aufbewahrung dieser "Schnüffeldaten" über Millionen von Bürgern eine nicht unerhebliche Gefährdung des Persönlichkeitsrechts der Betroffenen darstellt. Verfassungsrechtlich dürfte daher kaum zu begründen sein, dass ein herausragendes Allgemeininteresse daran besteht, alle gesammelten Daten ohne Unterschied und unbefristet in personenbezogener Form vorzuhalten. Um diesen Grundrechtseingriff abzumildern, enthielt § 14 Stasi-Unterlagen-Gesetz von 1991 eine Regelung zur Anonymisierung und Löschung personenbezogener Informationen über Betroffene und Dritte. Diese Vorschrift gab diesen Personen, also nicht den "Tätern", ab 1. Januar 1997 einen Anspruch auf Anonymisierung (Schwärzung) oder Vernichtung ihrer personenbezogenen Unterlagen, wenn eine Schwärzung sich technisch als nicht durchführbar erweisen sollte. Da bekanntlich fast alle personenbezogenen Stasi-Akten auch Informationen über Dritte (beispielsweise Familienangehörige, Freunde oder Kollegen) enthalten, wurden weitere Einschränkungen des Rechts auf Anonymisierung eingefügt.
Im Dezember 1996 schob der Bundesgesetzgeber diese Frist um zwei weitere Jahre hinaus, da ein Beginn der Anonymisierung aufgrund der noch nicht vollständigen Erschließung der Aktenbestände praktisch nicht möglich war. Ende des Jahres 1998 wurde erneut von verschiedenen Seiten vorgetragen, dass eine Anonymisierung ab dem 1. Januar 1999 noch nicht möglich sei, da die Behörde des Bundesbeauftragten für die Unterlagen des Staatssicherheitsdienstes [LINK] mit der Bearbeitung einer größeren Anzahl von Anonymisierungsanträgen extrem überlastet wäre. Dem trug der Bundesgesetzgeber Rechnung und verlängerte die Frist - letztmalig, wie es in der Begründung hieß - bis zum Jahr 2003 [32].
Aus datenschutzrechtlicher Sicht wird die weitere Verschiebung der Anonymisierungsregelung des Stasi-Unterlagen-Gesetzes immer problematischer. Auch nach Ablauf einer erneuten Fristverlängerung im Jahre 2003 dürfte die gegenwärtige Anonymisierungsregelung wegen des Informationsumfanges und der Informationsverknüpfungen unter gleich bleibender Berücksichtigung möglicher Interessen aller in den Akten verzeichneten betroffenen Opfer und Dritten regelmäßig nicht durchführbar sein. Der Bundesgesetzgeber ist also gefordert, andere Lösungen zu suchen.
|
1.2 |
Datenschutz in Berlin |
Im Gegensatz zu anderen Bundesländern, die im vergangenen Jahr bereits die EU-Richtlinie umgesetzt [33] oder diese zumindest in Angriff genommen haben, rieten wir in Berlin zur Zurückhaltung. Zum einen zeigen Erfahrung mit dem derzeitigen Berliner Datenschutzgesetz, das ebenfalls vor dem Bundesdatenschutzgesetz novelliert wurde, dass bei dieser Reihenfolge Abweichungen vom später geschaffenen Bundesrecht in Kauf genommen werden müssen, die häufig zu Anwendungsschwierigkeiten führen. Dies betrifft weniger materielle Abweichungen, mit denen ein Land eine gegenüber dem Bund datenschutzfreundlichere Einstellung zum Ausdruck bringt. Es betrifft vielmehr vor allem strukturelle und terminologische Fragen, die wenig substantiellen Gehalt haben, aber die Rechtsanwendung erheblich erschweren. Zum anderen würde eine sehr schnelle Umsetzung der Richtlinie nur eine Anpassung auf niedrigem Niveau bringen; die Chance einer grundsätzlichen Neuorientierung wäre vertan. Es muss sich zeigen, ob die Initiativen der neuen Bundesregierung nunmehr eine andere Situation schaffen; in diesem Fall sollte der Landesgesetzgeber ebenfalls aktiv werden, wenn auch angesichts des Ablaufs der Legislaturperiode in diesem Herbst realistischerweise eine parlamentarische Behandlung im Jahre 1999 nicht mehr möglich sein dürfte.
In der Berliner Verwaltung ist neben der Haushaltssanierung die Verwaltungsreform das beherrschende Thema. Ihre Durchsetzung bedarf einer Vielzahl von Gesetzesänderungen im Detail, die auch datenschutzrechtliche Aspekte aufweisen. Im vergangenen Jahr wurde das 2. Verwaltungsreformgesetz [34] verabschiedet, das neue Formen des Informationsaustauschs zwischen den Ordnungsbehörden vorsieht.
Nicht vorangekommen sind die Beratungen über ein Berliner Informationsfreiheitsgesetz, das von der Fraktion Bündnis 90/Die Grünen eingebracht wurde [35]. Nachdem das Land Brandenburg als erstes Bundesland über ein derartiges Gesetz verfügt [36], wäre es ein Beleg für die Aufgeschlossenheit der Bundeshauptstadt, wenn diese, einem weltweiten Trend folgend, ebenfalls den Zugang zu den Akten der öffentlichen Verwaltung ohne individuelle Voraussetzungen ermöglichen würde. Dass dies ohne unangemessene Beeinträchtigung des Datenschutzes geschehen kann, hat nicht nur Brandenburg bewiesen, sondern ist von der Konferenz der Datenschutzbeauftragten auch ausdrücklich bestätigt worden [37].
Die Meinungsverschiedenheiten über die Befugnis der Sozialleistungsträger, den Sicherheitsbehörden, vor allem aber der Ausländerbehörde, den künftigen Aufenthaltsort von Sozialleistungsempfängern mitzuteilen ("Sozialamtsfalle"), hielten an [38]. Zwar hat der Bundesgesetzgeber nunmehr eine entsprechende Befugnis im Sozialgesetzbuch geschaffen [39], diese ist aber an Voraussetzungen geknüpft, die gleichwohl eine Änderung der bestehenden, von uns für rechtswidrig gehaltenen Berliner Verwaltungsvorschriften erforderlich machen. Während die Sozialverwaltung die Bestimmungen für die Weitergabe von Daten an die Sicherheitsbehörden, insbesondere im Fahndungsfall an die Rechtslage anpasste, weigert sich die Innenverwaltung nach wie vor, dasselbe für die Weitergabe an Ausländerbehörden zu tun [40].
Im Übrigen sind keine wesentlichen Änderungen des Berliner Datenschutzrechts eingetreten. Dies ist sicherlich darauf zurückzuführen, dass auf der Grundlage des relativ strengen Berliner Datenschutzgesetzes in den vergangen Jahren der Datenschutz eine hinreichende, wenn auch nicht immer im Sinne der Bürger zufrieden stellende Rechtslage geschaffen wurde.
 |
2. Technische Rahmenbedingungen |
am 22.11.1999
