Das Thüringer Datenschutzgesetz muss dringend novelliert werden. Dazu hat der Innenauschusses des Thüringer Landtages die PIRATEN Thüringen um eine Stellungnahme gebeten. Die Anforderungen an den Datenschutz im öffentlichen, aber besonders auch im nichtöffentlichen Bereich, sind in den letzten Jahren sehr stark gestiegen. Neue Technologien und neue Nutzungsarten bestehender Technologien machen es möglich, Daten in vielen Bereichen einfacher und automatisiert zu sammeln, zu speichern und auszuwerten. Das Thüringer Datenschutzgesetz hat mit dieser Entwicklung nicht Schritt gehalten und so benötigt es eine Überarbeitung. Das hat auch die Thüringer Landesregierung erkannt und plant laut Koalitionsvertrag noch in dieser Legislaturperiode eine Novellierung des bisherigen Gesetzes. Allerdings sind bisher noch keinerlei Details zu eventuellen Änderungen bekannt.
Für den nichtöffentlichen Bereich existieren in Thüringen auf Landesebene keinerlei ergänzende Regelungen. Nicht der Landesbeauftragte für den Datenschutz ist für diesen wichtigen Teil des Datenschutzes zuständig, sondern das Thüringer Landesverwaltungsamt. Entsprechend gibt es im Thüringer Datenschutzgesetz auch keine Regelungen für nichtöffentliche Stellen. Lediglich die Schranken des Bundesdatenschutzgesetzes schützen in Thüringen Bürger vor einem Missbrauch ihrer Daten. Leider fehlen auch im Bundesdatenschutzgesetz viele Anpassungen an neue Problemstellungen.
Dazu kommt, dass der Europäische Gerichtshof (Aktenzeichen C-518/07) die Praxis der Bundesrepublik Deutschland, den Datenschutz in den Bereich der öffentlichen Verwaltung und dem Bereich der Bürger und Unternehmen aufzuteilen und von verschiedenen Stellen kontrollieren zu lassen, als nicht EU-konfom beurteilt hat.
Vor diesem Hintergrund gibt es einen neuen Gesetzentwurf (
LINK ) der ganz konkret die Kontrolle des Datenschutzes in Thüringen beim Beauftragten für den Datenschutz bündelt. Um die Debatte in der nötigen Breite und mit der nötigen Kompetenz führen zu können, hat der Innenausschuss des Thüringer Landtags auch die Piratenpartei Thüringen gebeten, zu einigen Punkten Stellung zu nehmen. Nachfolgend sind die Frage und die Stellungnahme der PIRATEN Thüringen aufgeführt:
Frage 1: Wie bewerten Sie die Übertragung der Kontrolle für nichtöffentliche Stellen an den Datenschutzbeauftragten?
Aus Sicht der Bürger stellt die Zusammenlegung der Kompetenzen im Bereich Datenschutz eine Verbesserung dar. Es dürfte für die wenigsten Bürger einsichtig sein, warum Anfragen und Hinweise für den nichtöffentlichen Bereich nicht an den Beauftragten für den Datenschutz, sondern an das Landesverwaltungsamt zu richten sind.
Auch im Hinblick auf das aktuelle Urteil zur Unabhängigkeit der Datenschutzbeauftragten (Urteil des Europäischen Gerichtshofes, Aktenzeichen C-518/07) ist die Übertragung der Kontrolle zu begrüßen. Die geforderte Unabhängigkeit kann durch einen Datenschutzbeauftragten besser umgesetzt werden. Bei der aktuellen Konstruktion der Kontrolle des Datenschutzes für nichtöffentliche Stellen beim Landesverwaltungsamt sehen wir keine Möglichkeit, diese Unabhängigkeit zu gewährleisten.
Bislang bestand für den nichtöffentlichen Bereich die Gefahr, dass Politik und Verwaltung Einfluss auf Entscheidungen der Kontrollbehörde nehmen. Auch der Europäische Gerichtshof hat dies so gesehen und in seiner Entscheidung als Grundlage vermerkt:
„[…] Die Regierung des betroffenen Landes hat nämlich, wie der EDSB in seinen Erklärungen hervorhebt, möglicherweise ein Interesse an der Nichteinhaltung der Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, wenn es um die Verarbeitung solcher Daten im nichtöffentlichen Bereich geht. Sie kann selbst involvierte Partei dieser Verarbeitung sein, wenn sie davon betroffen ist oder sein könnte, z.B. im Fall einer Kooperation von öffentlichen und privaten Stellen oder im Rahmen öffentlicher Aufträge an den privaten Bereich. Außerdem könnte sie ein besonderes Interesse haben, wenn sie für bestimmte ihrer Aufgaben, insbesondere zu Zwecken der Finanzverwaltung oder der Strafverfolgung, Zugang zu Datenbanken benötigt oder ein solcher Zugang einfach nur sachdienlich ist. Im Übrigen könnte diese Regierung auch geneigt sein, wirtschaftlichen Interessen den Vorrang zu geben, wenn es um die Anwendung der genannten Vorschriften durch bestimmte Unternehmen geht, die für das Land oder die Region wirtschaftlich von Bedeutung sind. […]“
Mit der aktuellen Konstruktion besteht darüber hinaus die Gefahr, dass die Behörde auch ohne konkrete Einflussnahme in einem Akt vorauseilenden Gehorsams versucht, die Entscheidungspraxis der Aufsichtsstellen zu erfüllen.
Die Abhängigkeiten würden mit der Zusammenlegung der Kompetenzen entscheidend gemindert; diese ist daher uneingeschränkt zu begrüßen.
Frage 2: Gibt es aus Ihrer Sicht rechtliche Bedenken gegen den Gesetzentwurf?
Die Schaffung eines unabhängigen Datenschutzbeauftragten könnte – je nachdem, wie weit man den Begriff der „Unabhängigkeit“ auslegt – in Konflikt mit der grundgesetzlich festgelegten Teilung und Kontrolle von staatlicher Gewalt angesehen werden. Das Grundgesetz formuliert in Art. 20 Abs. 2 und 3:
„[…] (2) Alle Staatsgewalt geht vom Volke aus. Sie wird vom Volke in Wahlen und Abstimmungen und durch besondere Organe der Gesetzgebung, der vollziehenden Gewalt und der Rechtsprechung ausgeübt.
(3) Die Gesetzgebung ist an die verfassungsmäßige Ordnung, die vollziehende Gewalt und die Rechtsprechung sind an Gesetz und Recht gebunden. […]“
Die Übertragung der Kompetenzen für den nichtöffentlichen Bereich an den Beauftragten für den Datenschutz müsste sich daher an diesem Artikel messen lassen. Eine Übertragung von staatlicher Gewalt an eine unabhängige Stelle ohne die Möglichkeiten zur Kontrolle dieser Gewalt würde im Widerspruch dazu stehen.
Der Europäische Gerichtshof hat allerdings (trotz der eher weiten Begriffsbestimmung von „Unabhängigkeit“) in erster Linie festgelegt, dass der Datenschutzbeauftragte unabhängig von staatlicher Einflussnahme zu sein hat. Das schließt nicht aus, dass es Kontroll- und Berichtsmechanismen geben kann, die den Anforderungen des Artikels 20 Grundgesetz genügen.
In der Begründung des Urteils des Europäischen Gerichtshof wird festgehalten:
„[…] Solche unabhängigen öffentlichen Stellen, wie es sie im Übrigen auch im deutschen Rechtssystem gibt, haben häufig Regulierungsfunktionen oder nehmen Aufgaben wahr, die der politischen Einflussnahme entzogen sein müssen, bleiben dabei aber an das Gesetz gebunden und der Kontrolle durch die zuständigen Gerichte unterworfen. Eben dies ist bei den Aufgaben der Kontrollstellen für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten der Fall. So kann es sein, dass Leitungspersonal vom Parlament oder der Regierung bestellt wird, zum anderen kann der Gesetzgeber die Kompetenzen der Kontrollstellen festlegen. […]“
In dieser Begründung werden eine Reihe von Mechanismen aufgeführt, mit der demokratische Kontrolle hergestellt werden kann, ohne dabei die Unabhängigkeit des Beauftragten für den Datenschutz zu weit einzuschränken. Diese sind beispielsweise
- Berichts- und Rechenschaftspflichten für den Datenschutzbeauftragten,
- Bestimmung des Leitungspersonals durch gewählte Gremien, sowie
- Festlegung der Kompetenzen des Datenschutzbeauftragten durch gewählte Gremien.
Der Europäische Gerichtshof geht in seiner Entscheidung weiterhin davon aus, dass die Entscheidungen des Datenschutzbeauftragten gerichtlich überprüft werden können. Die Unabhängigkeit der Stelle geht also nicht so weit, dass die Arbeit des Datenschutzbeauftragten sakrosankt sei. Stattdessen sind die Entscheidungen des Beauftragten für Datenschutz eingebettet in das normale judikative System. Dies ist auch in § 36 Abs. 1 ThürDSG explizit festgelegt und wird auch durch die Neufassung nicht geändert.
Die PIRATEN Thüringen sind aufgrund dieser Betrachtungen der Ansicht, dass es beim aktuellen Gesetzentwurf zur Zusammenlegung der Kompetenzen des Datenschutzbeauftragten keine Konflikte mit dem deutschen Grundgesetz gibt.
Frage 3: Welche Möglichkeiten bestehen nach Ihrer Auffassung, um eine völlige Unabhängigkeit der Datenschutzkontrollen zu gewährleisten?
Die „völlige Unabhängigkeit“ der Beauftragten für den Datenschutz, die nach der Richtlinie 95/46/EG vorgeschrieben ist, umfasst in erster Linie die Unabhängigkeit von staatlicher Kontrolle. Diese kann nach Ansicht der Piratenpartei Thüringen in erster Linie durch den Wegfall des dienstrechtlichen Weisungsbefugnisses erreicht werden, sowie durch eine wirtschaftliche Selbständigkeit des Beauftragten für den Datenschutz. Für den Europäischen Beauftragten für Datenschutz ist diese Unabhängigkeit beispielsweise in Art. 44 Abs. 2 der EG-Verordnung 45/2001 mit folgender Formulierung festgelegt:
„[…] Der EDSB ersucht in Ausübung seines Amtes niemanden um Weisung und nimmt keine Weisungen entgegen […]“
Des Weiteren müssen die in der Richtlinie 95/46/EG erwähnten Befugnisse auch dem Datenschutzbeauftragen in Thüringen und auch für den nichtöffentlichen Bereich gewährt werden. Das betrifft insbesondere
- Untersuchungsbefugnisse, wie das Recht auf Zugang zu Daten, die Gegenstand von Verarbeitung sind, und das Recht auf Einholung aller für die Erfüllung ihres Kontrollauftrags erforderlichen Informationen;
- wirksame Einwirkungsbefugnisse, wie beispielsweise die Möglichkeit, im Einklang mit Art. 20 Grundgesetz vor der Durchführung der Verarbeitungen, Stellungnahmen abzugeben und für eine geeignete Veröffentlichung der Stellungnahmen zu sorgen, oder die Befugnis, die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den für die Verarbeitung Verantwortlichen zu richten, oder die Parlamente oder andere politische Institutionen zu befassen;
- das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen die einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie.
Unserer Ansicht nach erfüllt aktuell der Beauftragte für den Datenschutz die Anforderungen für eine völlige Unabhängigkeit von staatlichen Kontrollmechanismen weitgehend. Daher wären in unseren Augen bei einer Übertragung der Kontrolle von nichtöffentlichen Stellen an den Thüringer Datenschutzbeauftragten die Forderungen des Europäischen Gerichtshofes erfüllt. Zu prüfen wäre lediglich, ob die finanzielle Ausstattung des Datenschutzbeauftragen noch weiter geregelt werden muss, um auch eine wirtschaftliche Unabhängigkeit zu garantieren.
Das Thüringer Datenschutzgesetz muss dringend novelliert werden. Dazu hat der Innenauschusses des Thüringer Landtages die PIRATEN Thüringen um eine Stellungnahme gebeten. Die Anforderungen an den Datenschutz im öffentlichen, aber besonders auch im nichtöffentlichen Bereich, sind in den letzten Jahren sehr stark gestiegen. Neue Technologien und neue Nutzungsarten bestehender Technologien machen es möglich, Daten in vielen Bereichen einfacher und automatisiert zu sammeln, zu speichern und auszuwerten. Das Thüringer Datenschutzgesetz hat mit dieser Entwicklung nicht Schritt gehalten und so benötigt es eine Überarbeitung. Das hat auch die Thüringer Landesregierung erkannt und plant laut Koalitionsvertrag noch in dieser Legislaturperiode eine Novellierung des bisherigen Gesetzes. Allerdings sind bisher noch keinerlei Details zu eventuellen Änderungen bekannt.