Der 24. Datenschutzbericht des LfDI umfasst die Jahre 2012 und 2013 sowie - aus Gründen der Aktualität - einige wichtige Datenschutz-Ereignisse des laufenden Jahres.
I.
1. Der Bericht beginnt mit der Feststellung, dass die zurückliegenden 12 Monate in der Rückschau womöglich einmal als historische Zeitenwende für den Datenschutz beurteilt werden könnten.
Einerseits wurde durch die Enthüllungen Edward Snowdens bekannt, dass die Internetkommunikation auf allen Kontinenten unserer Erde - und damit auch in unserem Land - überwacht wird und dass Regierungen und Parlamente weder in der Lage waren noch in der Lage sind, diese Überwachung zu verhindern. Wenn ich bei der Vorstellung des letzten Tätigkeitsberichts noch festgestellt habe, dass der Staat der eigentliche Garant des Datenschutzes sei, so hat sich dies so nicht bewahrheitet, zumal es in den zurückliegenden Monaten auch nicht gelungen ist, auf europäischer Ebene die Datenschutz-Grundverordnung und auf nationaler Ebene z.B. das Beschäftigtendatenschutzgesetz zu verabschieden.
Während sich also ein ungezügelter Datenimperialismus von privaten Internetkonzernen und staatlichen Überwachungsstellen ausbreitet, herrschte in datenschutzrechtlicher Hinsicht Stillstand und weitgehende Ratlosigkeit und mehr noch: Immer häufiger sah und sieht man sich als Datenschutzbeauftragter mit dem Diktum konfrontiert: Eurer Engagement in Ehren, aber ihr habt euren Kampf doch schon längst verloren.
Andererseits haben die Enthüllungen Snowdens - und auch darauf geht der Bericht näher ein - endlich zu einem breiten und substanziellen Diskurs über die digitale Revolution, ihre Folgen und auch über mögliche Gegenstrategien geführt, nicht zuletzt in der Frankfurter Allgemeinen Zeitung, die vielen namhaften Autoren breiten Raum für notwendige Analysen und Vorschläge eingeräumt hat. Von einer Sternstunde des politisch relevanten Feuilletons ist die Rede und davon, dass diese Beiträge eine Zeitgenossenschaft begründet haben, in der über die existenziellsten politischen Fragen diskutiert wird. Zugleich hat der Europäische Gerichtshof sich als neuer Hüter des Datenschutzes erwiesen und in zwei bahnbrechenden Entscheidungen erstmals für unsere digitale Zeit Grenzen für staatliche Überwachung (Vorratsdatenspeicherung) und unternehmerische Datenverwertung (Google-Entscheidung) skizziert.
In Umwandlung eines Satzes, den der damalige Hessische Landesdatenschutzbeauftragte, Prof. Spiros Simitis 1984 geprägt hatte, wird man vielleicht sagen können:
Just in dem Augenblick, in dem Datenschutz und Datensicherheit ihren Tiefpunkt erreicht haben, scheint das Bewusstsein für das eine wie für das andere wieder geweckt worden zu sein und hier und da vielleicht auch zu wachsen.
2. In diesem globalen Kontext spielt Rheinland-Pfalz natürlich nur eine Nebenrolle und der rheinland-Pfälzische LfDI eher die Rolle eines Beobachters. Der Bericht weist freilich darauf hin, dass das Land auch in diesem Kontext nicht ohne Einfluss ist. Der Bundesrat bietet Möglichkeiten einer mittelbaren Einflussnahme, auch in Sachen Datenschutzrahmenabkommen und Freihandelsabkommen mit den USA, ebenso wie bei der Europäischen Datenschutz-Grundverordnung und dem Beschäftigtendatenschutzgesetz, um nur ein paar Beispiele zu nennen.
Auf fast 10 Seiten skizziert der Bericht aber vor allem die Möglichkeiten, die das Land hat, um direkt und unmittelbar auf diese digitale Entwicklung Einfluss nehmen zu können. Diese Möglichkeiten sind von grundlegender Bedeutung und betreffen den Bereich der digitalen Bildung, in dem die Landesregierung und der Landtag manche Anstrengungen unternommen haben, die im Bericht auch gebührend gewürdigt werden.
So wie aber der gesellschaftliche Diskurs über die digitale Revolution und die mit ihr verbundene Datenausbeutung in den letzten Monaten neue Fahrt aufgenommen hat, so müssen auch die schulischen und außerschulischen Maßnahmen auf diesem Gebiet einen neuen Schub und eine neue Qualität erhalten.
Das schließt - wie im Bericht deutlich gemacht wird - ein eigenes Schulfach und eine Auseinandersetzung mit der vom Bundeswirtschaftsminister Gabriel ebenfalls in der FAZ aufgegriffenen bildungspolitischen Grundsatzfrage ein, ob in Zeiten der Digitalisierung unserer Gesellschaft und unseres Staates Programmiersprachen womöglich wichtiger werden als die Kenntnis antiker Sprachen. Dies mag zwar in erster Linie auf den Bedarf der Wirtschaft an technischen Fachkräften abzielen, doch stellt sich darüber hinaus ganz generell die Frage, ob die derzeitigen Unterrichtsinhalte die zunehmende Digitalisierung unseres Lebens adäquat abbilden.
Im Übrigen spricht sich der Bericht für eine inhaltliche Überprüfung insbesondere des schulischen Unterrichts aus, soweit dieser auf eine Förderung der Medienkompetenz der Schülerinnen und Schüler abzielt. Es erscheint fraglich, ob die gegenwärtigen Unterrichtsangebote die richtigen digitalen Themen und Fragestellungen behandeln, ob sie das digitale Vokabular hinreichend erläutern, digitale Rechte erklären, ein waches digitales Bewusstsein bilden, zur digitalen Selbstständigkeit und Autonomie erziehen und am Ende auch zu Verhaltensänderungen befähigen. Wenn der Europäische Gerichtshof den Bürgerinnen und Bürgern neue Rechte eröffnet, brauchen wir auch Bürgerinnen und Bürger, die von diesen Rechten Gebrauch machen können.
Schließlich kritisiert der Bericht, dass viele schulische Angebote in diesem Kontext immer noch freiwillig und weder flächendeckend noch prüfungs- und notenrelevant ausgestaltet sind. Die Zeiten, in denen digitale Bildung - um es etwas überspitzt zu formulieren - allein mit Hilfe von Whiteboards und im Übrigen eher nebenbei erledigt werden konnte, sind definitiv vorbei.
---
II.
1. In Folge der Snowden-Enthüllungen stellte sich im Berichtszeitraum auch die Frage, wie sich diese und die entsprechenden Überwachungs- und Spionagemaßnahmen auf die Kommunikation unserer Landes- und Kommunalverwaltungen auswirken. Da die Kommunalverwaltungen auch auf British Telecom und Vodafone als Provider zurückgreifen und die Snowden-Enthüllungen den Schluss zulassen, dass das eine wie das andere Unternehmen eng mit dem britischen Geheimdienst zusammenarbeitet, muss sichergestellt werden, dass - auch in vergleichbaren Fallkonstellationen - eine Datenweitergabe an auswärtige Sicherheitsstellen ausgeschlossen ist. Dies schließt die Prüfung mit ein, ob entsprechende Verträge ggf. mit anderen, auch deutschen Unternehmen, angestrebt werden sollten.
2. Anlässlich der Vorstellung des 23. Tätigkeitsberichts hatte ich bedauernd darauf hingewiesen, dass einer Umfrage des LfDI zufolge 97,5 Prozent der 1.500 größten rheinland-pfälzischen Unternehmen keinen Beratungsbedarf in Fragen der Datensicherheit hatten. Das deutete auf eine eminente Unterschätzung der Datensicherheitsproblematik hin. Nachdem die Snowden-Enthüllungen deutlich gemacht haben, dass ein Großteil der Überwachungsmaßnahmen des US-amerikanischen und des britischen Geheimdienstes auch der Wirtschaftsspionage gedient hat und immer noch dient, hat sich dies geändert. Das Interesse an betrieblichen Datenschutz- und Datensicherheitslösungen, nicht zuletzt an kryptografischen Verfahren hat massiv zugenommen. Der LfDI hat dies zum Anlass dafür genommen, der Landesregierung vorzuschlagen, die im Koalitionsvertrag vorgesehene Landesdatenschutzkonferenz diesem Thema zu widmen und dabei in Abstimmung mit den Kammern und Unternehmerverbänden insbesondere Fragen der IT-Sicherheit und des Cloud-Computing sowie der Auditierung und Zertifizierung von Verfahren und Produkten zu behandeln. Jedenfalls sind die derzeitigen staatlichen Beratungsmaßnahmen und Beratungsstrukturen insoweit ausbaufähig.
---
III.
Jenseits dieser digitalen Grundsatzfragen, sozusagen im datenschutzrechtlichen Alltag, war und ist die Welt in Rheinland-Pfalz - von Ausnahmen abgesehen - noch weitgehend in Ordnung.
1. Die Sensibilität für Datenschutzfragen ist innerhalb der Landesregierung groß; das gilt im gleichen Maße für den Landtag, dessen Alterspräsident seine Rede in der konstituierenden Sitzung des Landtags sogar weitgehend dem Datenschutz gewidmet hatte. Dementsprechend ist der LfDI auch bei allen Gesetzesvorhaben frühzeitig von Landesregierung und Landtag in die jeweiligen Beratungen mit einbezogen worden, wobei seine Vorstellungen in der Regel auch berücksichtigt wurden; der Entwurf des Landesjustizvollzugsdatenschutzgesetzes stammt sogar weitgehend aus seiner Feder. Nicht immer führte der inhaltliche Konsens in Datenschutzfragen aber auch zu zeitnahen Gesetzesänderungen. Die nach einiger Verspätung 2012 vereinbarte Änderung des Landeskinderschutzgesetzes hat auch zwei Jahre später immer noch nicht zu einem entsprechenden Gesetzentwurf geführt. Das hat zur Folge, dass die vom Verfassungsgerichtshof schon 2009 angemahnten Korrekturen des Gesetzes zum großen Teil bis heute noch nicht vorgenommen worden sind. Dieser Zustand ist schon aus verfassungsrechtlichen Gründen nicht tragbar, er relativiert auch den guten Datenschutzstandard, der ansonsten mit dem Gesetz verbunden ist.
2. Auch die Bereitschaft der Landesregierung, sich auf die strengen Vorgaben des LfDI in Sachen Facebook einzulassen, ist nicht selbstverständlich und verdient Anerkennung. Das gilt für die Frage, ob Facebook von Lehrerinnen und Lehrern zu Unterrichtszwecken verwendet werden kann und ob sie zu diesem Zweck auch mit ihren Schülerinnen und Schülern im Sinne der Facebook-Terminologie befreundet sein dürfen. Es gilt aber auch für die Nutzung von sog. Facebook-Fanseiten. In Abstimmung mit dem LfDI hat das Bildungsministerium das Eine untersagt und hat die Landesregierung das Andere nur in sehr zurückgenommener Form praktiziert. Durch die jüngste Entscheidung des Europäischen Gerichtshofs sieht sich der LfDI in seiner entsprechenden Rechtsauffassung bestätigt. Deswegen wird der LfDI gerade im Kommunalbereich und innerhalb der Hochschulen auf eine Einhaltung seiner restriktiven Vorgaben bei der Nutzung von Facebook-Fanseiten drängen.
3. Einen nennenswerten datenschutzrechtlichen Dissens mit der Landesregierung bzw. einem ihrer Ressorts gab es nur bei der massenhaften Erhebung und Speicherung von Kfz-Kennzeichen auf diversen rheinland-pfälzischen Autobahnabschnitten, die im vergangenen Jahr zur Ermittlung des sog. Autobahnschützen geführt haben. Nach Auffassung des LfDI fehlte es für diese neue Ermittlungsmaßnahme an der notwendigen Rechtsgrundlage, eine Auffassung, die vom Justizministerium und der Staatsanwaltschaft nicht geteilt wurde.
Trotz dieses Dissenses bleibt zu würdigen, dass der LfDI frühzeitig in das Verfahren eingebunden war und dass die rheinland-pfälzische Staatsanwaltschaft noch rechtzeitig aus diesem Ermittlungsansatz ausgestiegen ist. Gemeinsam mit dem Justizministerium und der Staatsanwaltschaft bleibt zu prüfen, ob für präventive und repressive digitale Ermittlungsmaßnahmen der Polizei überhaupt schon die notwendigen Rechtsgrundlagen bestehen. Das gilt nicht zuletzt auch für den Einsatz polizeilicher Drohnen, auf die in Rheinland-Pfalz allerdings zurzeit noch verzichtet wird.
Im Übrigen hat sich auch im Berichtszeitraum die gewachsene Sensibilität der rheinland-pfälzischen Polizei für Fragen des Datenschutzes bewährt. Offenbar gibt es derzeit nur in einem Punkt einen gravierenden Meinungsunterschied zwischen den rheinland-pfälzischen Sicherheitskräften und dem LfDI. Er betrifft nach wie vor die Vorratsdatenspeicherung, in der der LfDI kein taugliches und vor allem kein verhältnismäßiges Mittel zur Bekämpfung von Kriminalität sieht, selbst wenn man die Zwecke auf die organisierte Kriminalität und die Terrorismusbekämpfung beschränkt. Darin sieht sich der LfDI durch die jüngste Entscheidung des EuGH zur Vorratsdatenspeicherungs-Richtlinie bestärkt.
4. Besondere Aufmerksamkeit wurde im Berichtszeitraum den Krankenhäusern im Lande zuteil, jedenfalls soweit sie unter die Kontrollkompetenz des LfDI fallen, was bei den Krankenhäusern in kirchlicher Trägerschaft nicht der Fall ist. Diese Aufmerksamkeit folgt aus der besonderen Schutzbedürftigkeit der Patientendaten, die zunehmend in sog. Krankenhausinformationssystemen verarbeitet werden. Der Betrieb derartiger Systeme ist in vielen Kliniken unter datenschutzrechtlichen Gesichtspunkten verbesserungsbedürftig und verbesserungsfähig. Derzeit wird auf der Grundlage einer vom LfDI mitentwickelten Orientierungshilfe versucht, den Einsatz dieser Informationssysteme zu optimieren. Da dies nicht von heute auf morgen möglich ist, sind die Krankenhausinformationssysteme derzeit risikobehaftet.
5. Eine besondere Rolle spielt in diesem Kontext die Universitätsmedizin Mainz, deren IT-Struktur nicht dem gebotenen Datenschutzstandard entspricht, obwohl der LfDI schon vor einiger Zeit eine Reihe von Empfehlungen für ein hinreichendes Datenschutz- und Datensicherheitskonzept gegeben hat. Dass immer noch kein verbindliches Konzept für eine Neustrukturierung der IT der Universitätsmedizin vorliegt, stellt einen grundsätzlichen und mittlerweile auch andauernden Mangel dar, der nicht weiter hinnehmbar ist.
6. Im Bereich der Wirtschaft befasst sich der LfDI seit mehreren Monaten mit datenschutzrechtlichen Vorwürfen gegen das Vertriebssystem der Debeka. Dies hat zur Einleitung eines Ordnungswidrigkeitsverfahrens gegen das Unternehmen und seinen Vorstand sowie gegen einzelne Mitarbeiter bzw. Tippgeber geführt. Diese Verfahren sind noch nicht abgeschlossen. Der LfDI führt darüber hinaus seit Dezember 2013 konstruktive Gespräche über künftige Veränderungen im Vertriebssystem; diese Gespräche dauern noch an. Gleichzeitig spricht der LfDI mit der Landesregierung über die bisherige und zukünftige Praxis der Nebentätigkeit öffentlich Bediensteter in Rheinland-Pfalz.
7. Schwerpunktthema im privatwirtschaftlichen Bereich war im Übrigen der Datenschutz im Hotelgewerbe, der - das zeigten die Überprüfungen - zum Teil erhebliche Defizite aufweist. Um sie zu beseitigen, hat der LfDI in Übereinstimmung mit dem Dehoga Rheinland-Pfalz eine Orientierungshilfe erarbeitet, die den Hotelbetreibern und Hotelgästen Vorgaben und Tipps für einen besseren Datenschutz an die Hand gibt.
8. Das Thema Videoüberwachung bleibt ein datenschutzrechtlicher Dauerbrenner. In jüngster Zeit gesellen sich allerdings neue technische Spielarten der Videoüberwachung hinzu: Helmkameras werden von Snowboardern oder Bikern eingesetzt und die Aufnahmen sodann ins Netz gestellt, so manche Dashboard-Kamera ziert das Armaturenbrett von Autos. Drohnen erobern als Fliegende Augen den Luftraum, auch über Nachbars Garten, sogar im tiefen Wald stößt man auf eine große Zahl sog. Wildkameras, die Jäger bei der Jagdausübung unterstützen sollen, aber auch Spaziergänger und Jogger ins Visier nehmen. Wenn nicht alles täuscht, wird sich diese Entwicklung fortsetzen. Mittlerweile gibt es sogar Gedankenspiele, die weltweit 4 Milliarden Straßenlampen mit internetfähigen Sensoren auszustatten, die Video- und Audioaufnahmen ermöglichen und ins Netz stellen. Entsprechende Überwachungslampen sind keine Phantasieprodukte mehr, sondern - jedenfalls in den USA - offenbar schon Realität.
---
IV.
Ein Sonderthema, mit dem sich der LfDI seit einiger Zeit befasst, ist der Datenschutz im Rahmen der Doping-Bekämpfung, die zum Teil mit gravierenden Verstößen gegen das informationelle Selbstbestimmungsrecht der Sportlerinnen und Sportler einhergeht, die sich deshalb auch immer wieder an den LfDI gewandt haben. Trotz mancher Bemühungen hat sich daran bisher nichts Substanzielles geändert. Umso mehr ist es zu begrüßen, dass es jetzt offenbar ernsthafte Bemühungen für den Erlass eines Anti-Doping-Gesetzes gibt. Was auch immer darin geregelt werden wird: Fehlten in einem solchen Gesetz Regelungen zur Sicherung des informationellen Selbstbestimmungsrechts der Sportlerinnen und Sportler, würde es an einem gravierenden verfassungsrechtlichen Mangel leiden. Der LfDI hat darauf bereits mehrfach hingewiesen.
---
V.
An verschiedenen Stellen kommt der Tätigkeitsbericht des LfDI auch auf die Rolle zu sprechen, welche die Bürgerinnen und Bürger übernehmen müssen, um einen guten Datenschutzstandard zu gewährleisten. Gegenwärtig ist die Haltung vieler Bürgerinnen und Bürger zum Datenschutz indes paradox. Als allgemeine Wertvorstellung wird er geschätzt, als Handlungsanleitung für das eigene Verhalten dagegen vernachlässigt. Die Snowden-Enthüllungen haben dieses Datenschutzparadoxon eher noch verstärkt. Zwar gibt es nicht wenige Bürgerinnen und Bürger, die sich auf unterschiedliche Weise gegen entsprechende Entwicklungen zur Wehr setzen, insgesamt wächst - so hat es den Anschein - aber eher die resignierende Ansicht, in digitalen Zeiten ohnehin nichts an der massenhaften Kommerzialisierung und Überwachung der eigenen Privatsphäre ändern zu können. Nach einer Umfrage vom März 2014 gaben drei Viertel der Befragten an, ihren Umgang mit persönlichen Daten nach den Enthüllungen des NSA-Skandals nicht geändert zu haben. Unter den 14- bis 19-Jährigen lag die Zahl sogar bei 90 Prozent. Der Bericht wagt keine Prognose, ob sich an diesen Zahlen über kurz oder lang etwas ändern wird.
---
VI.
Optimistisch stimmt immerhin, dass die Zahl der Bürgerinnen und Bürger, die beim LfDI um Rat und Unterstützung gebeten haben, auch im Berichtszeitraum weiter angewachsen ist. Den LfDI erreichten in den Jahren 2012 und 2013 insgesamt rund 2.000 schriftliche Eingaben. Dazu kamen mehr als 7.000 telefonische Anfragen. Dabei hatten die Eingaben, die sich auf den öffentlichen Bereich bezogen, gegenüber den Eingaben im privaten Bereich ein leichtes Übergewicht.
Die Vermittlung von datenschutzrelevanten Informationen erfolgt aber nicht nur im Kontext von Eingaben und sonstigen Anfragen. Viele Informationen stellt der LfDI auch von sich aus interessierten Bürgerinnen und Bürgern zur Verfügung. Besonders hervorzuheben ist dabei YoungData, die bundesweit erste Datenschutzseite für junge Leute. Seitdem sie im November des vergangenen Jahres im Netz freigeschaltet wurde, ist sie von rund 40.000 Personen besucht worden.