Themen / Datenschutz

Unabhän­gig­keit des Daten­schutzes endlich herstellen!

31. August 2005

Stellungnahme der HU zu einer Anhörung im Niedersächsischen Landtag

Mitteilungen Nr. 190, S.8-9

Die niedersächsische Landesregierung hat am 24. Mai 2005 beschlossen, dem Landesbeauftragten für Datenschutz Niedersachsen die ihm übertragene Aufgabe der zuständigen Aufsichtsbehörde nach § 38 Absatz 6 Bundesdatenschutzgesetz (BDSG) zu entziehen. Vom 1. Januar 2006 an soll die Aufsicht über den Datenschutz im nichtöffentlichen (privatwirtschaftlichen) Bereich vom niedersächsischen Ministerium für Inneres und Sport übernommen werden. Gegen diese Beschneidung des Datenschutzes hatte die Humanistische Union in einem Offenen Brief an den Ministerpräsidenten Christian Wulff protestiert. Der zuständige Ausschuss des niedersächsischen Landtags berief nach Anträgen der Fraktionen von SPD und Bündnis 90/Die Grünen für den 30. August eine Anhörung ein. Daran nahm Nils Leopold als Vertreter des Bundesvorstandes der Humanistischen Union teil.

In seiner Stellungnahme lehnte Nils Leopold das Vorhaben der Landesregierung in mehrfacher Hinsicht ab: Zum einen verstoße es gegen die im EU-Recht und im Grundgesetz zum Schutz der Grundrechte der Bürgerinnen und Bürger vorgesehenen Bestimmungen einer unabhängigen und effizienten Datenschutzkontrolle. Außerdem verlange gerade die aktuelle Entwicklung nach einer stärkeren Kontrolle des Datenschutzes im privatwirtschaftlichen Bereich. Durch die zunehmende Informationsgewinnung und Datenspeicherung von Unternehmen kommt diesem Bereich eine immer größere Bedeutung zu. Die Trennung zwischen der Datenschutzkontrolle für den öffentlichen und den nichtöffentlichen Bereich erweise sich als unzeitgemäß, weil die datenschutzrechtlichen Probleme vergleichbar sind und weil darüber hinaus staatliche Stellen verstärkt auf nicht-öffentlich erhobene Daten zugreifen (wollen).

Wir dokumentierten im Folgenden eine Zusammenfassung der schriftlichen Stellungnahme:

Das Vorhaben der Landesregierung verstößt gegen die EG-Datenschutzrichtlinie 95/46 EG, die ein hohes Schutzniveau bei der Verarbeitung personenbezogener Daten in den Mitgliedstaaten sicherstellen soll. Die Zuordnung der Datenschutzaufsicht über den nichtöffentlichen Bereich zum Innenministerium steht im Widerspruch zu Artikel 28 Abs. 1 dieser Richtlinie, der eine vollständige Unabhängigkeit der Aufsichtsbehörden vorsieht. Kontrollstellen im Sinne von Artikel 28 der EG-Datenschutzrichtlinie dürfen weder in einem ministeriellen Weisungsstrang eingeordnet sein noch Weisungen bezüglich Art und Umfang ihrer Tätigkeit erhalten. Für die Aufsichtsbehörden des Datenschutzes soll damit eine der richterlichen vergleichbare Unabhängigkeit gewährleisten werden. Aus der Entstehungsgeschichte der europäischen Datenschutzrichtlinie wird deutlich, dass eine solche Unabhängigkeit der Aufsichtsbehörden nicht allein durch eine institutionelle Trennung zwischen Kontrolleuren und zu Kontrollierenden erreicht werden kann. Sie setzt auch eine funktionelle Unabhängigkeit voraus, die sowohl die fachliche wie dienstrechtliche Unabhängigkeit garantiert. Klar ist, dass die Ausübung der Aufsicht durch das Innenministerium selbst eine eindeutige Verletzung der erforderlichen Unabhängigkeit darstellt. Die Europäische Kommission hat deshalb nach einer Bürgerbeschwerde am 5. Juli 2005 formell ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland eingeleitet. Die Kommission vertritt die Auffassung, dass sämtliche Aufsichtsbehörden der Bundesländer für den nichtöffentlichen Bereich nicht den Vorgaben von Artikel 28 der EG-Datenschutzrichtlinie entsprechen. Vor diesem Hintergrund haben einige Bundesländer (Mecklenburg-Vorpommern, Sachsen) damit begonnen, die bisher getrennte Aufsicht wieder beim Datenschutzbeauftragten zusammenzuführen, in anderen Bundesländern wird dies diskutiert (Bayern, Baden-Württemberg). Die getrennte Datenschutzaufsicht stellt sich insofern als ein Auslaufmodell dar.

Mit der geplanten Neuzuordnung nahm die niedersächsische Landesregierung zugleich eine Reduzierung der Datenschutzaufsicht für den privatrechtlichen Bereich in Kauf. Der Schutz des in Artikel 2 Absatz 1 in Verbindung mit Artikel 1 Grundgesetz verankerten Grundrechts auf informationelle Selbstbestimmung verlangt aber wirksame Vorkehrungen für einen prozeduralen Grundrechtsschutz. Zu diesen Vorkehrungen zählt die Einrichtung von unabhängigen Datenschutzbehörden auch für die Datenschutzaufsicht über den privaten Bereich. Die Drittwirkung des Grundrechts auf informationelle Selbstbestimmung in die Privatrechtsordnung hinein ist anerkannte und ständige Rechtsprechung. Daher sind die im öffentlich-rechtlichen Bereich anerkannten Verfahren zum Schutz dieses Grundrechts auch auf den privatwirtschaftlichen Bereich anzuwenden. Insofern greift auch nicht das von der Landesregierung vorgebrachte Argument, es handle sich hierbei um den Rückzug des Staates auf seine Kernaufgaben. Die Landesregierung hat in der Begründung ihrer Entscheidung mehrfach betont, die mit der getrennten Aufsicht verbundene Reduzierung der Aufsichts- und Beratungsleistungen müsse in Kauf genommen werden, ihr Ziel sei die Stärkung der Eigenverantwortlichkeit der Bürgerinnen und Bürger.

Vor dem Hintergrund der im Bereich der Privatwirtschaft insgesamt massiv gestiegenen datenschutzrechtlichen Probleme und Anfragen betroffener Bürger ist der Rückzug der Landesregierung aus der Aufsichtsverantwortung nicht nur sachlich unvertretbar, sondern verfassungsrechtlich bedenklich. Es ist absehbar, dass beispielsweise die Durchführung aufsichtsbehördlicher Prüfungen (nach der EG-Datenschutz-Richtlinie auch ohne Anlass möglich) in Unternehmen vor Ort für die Zukunft entfallen müsste. Die damit entstehende Lücke in der Datenschutzaufsicht des Landes widerspricht den europarechtlichen und verfassungsrechtlichen Vorgaben und führt – ganz offenbar in Kauf genommen – zu einem Leerlaufen der entsprechenden Bestimmungen des BDSG. Schließlich wird auch nicht Eigenverantwortung dadurch gestärkt, dass Beratungsleistungen ersatzlos entfallen. Dann liegt ein grundsätzliches Missverständnis der Beratungsaufgaben vor. Die Arbeit der Aufsichtsbehörden dreht sich seit eh und je um die Stärkung der Eigenverantwortung der Bürgerinnen und Bürger, die gerade mit Hilfe der Beratung durch unabhängige Datenschutzbehörden in die Lage versetzt werden, ihre ihnen nach Gesetz und Verfassung zukommenden Rechte geltend zu machen. Gerade mit Blick auf die von den Datenschutzbehörden erbrachten Beratungsleistungen steht der Beschluss im Widerspruch zu den Prinzipien der Verwaltungsmodernisierung. Durch getrennte Zuständigkeiten droht Bürgerferne statt Bürgernähe bei der Datenschutzaufsicht.

Eine beim Innenministerium angesiedelte Datenschutzaufsicht kann zu Interessenkonflikten führen, wenn sich ministerielle Zielsetzungen und unabhängige Aufsichtspflichten entgegenstehen. So zeichnen die Innenministerien beispielsweise für den Ausbau und die Ausweitung von Sicherheitsmaßnahmen verantwortlich, wenn es um die Straftatverhinderung und Straftatverfolgung oder den so genannten Anti-Terror-Kampf geht. Häufig wird dabei ein möglichst umfassender staatlicher Zugriff auf die von Privaten vorgehaltenen personenbezogenen Datenbestände angestrebt. Dieses Interesse verträgt sich nicht mit einer in derselben Behörde durchzuführenden Aufsicht über die Einhaltung des Grundrechtsschutzes in Unternehmen. Denn zu dieser Aufgabe gehört es eben auch, bei Unternehmen auf Datenvermeidung und Datensparsamkeit zu drängen und gesetzlich gebotene Zurückhaltung bei der Herausgabe personenbezogener Daten auch gegenüber staatlichen Stellen – notfalls aufsichtsbehördlich – durchzusetzen.

Andererseits wird seit längerem die Unterscheidung zwischen dem Datenschutz im öffentlichem und nichtöffentlichem Bereich hinterfragt. Es stellen sich dort datenschutzrechtlich vergleichbare Probleme, was die Kontrolle im technisch-organisatorischen Bereich betrifft. Auch die durch moderne Informationstechnologien und Managementkonzepte aufgeworfenen Probleme gleichen sich weitgehend: Customer Relationship Management (CRM) und die dazugehörige Software halten im Rahmen von E-Government längst in der Verwaltung Einzug. In beiden Bereichen finden sich moderne Personaldatenverarbeitungssysteme, und auch die Polizeidienststellen hoffen, ihre Datenbanken künftig mit modernen, aus der Privatwirtschaft bekannten Profilingmethoden auswerten zu können. Eine einheitliche Datenschutzaufsicht ist daher erforderlich und sachgerecht. In der EG-Datenschutzrichtlinie ist dies bereits verwirklicht worden. Die Angleichung wird auch durch die Zunahme von public-private Partnerships oder den vermehrten Einstieg öffentlicher Unternehmen in den marktwirtschaftlichen Wettbewerb befördert.

nach oben