2.14.1 Sensible Daten - aber keiner weiß, wo sie sind
Im Zuge der Hochschulerneuerung konnte das wissenschaftliche Personal der ehemaligen DDR-Hochschulen die Weiterbeschäftigung an den staatlichen Hochschulen des Landes beantragen. Das entsprechende Verfahren ist im Hochschulerneuerungsgesetz (HEG MV) geregelt. Zur Vorbereitung der Entscheidungen war von Ehren-, Überleitungs- und Übernahmekommissionen zu prüfen, ob die im Gesetz genannten Voraussetzungen im Einzelfall erfüllt sind. Dazu wurden bei den Betroffenen personenbezogene Daten erhoben und in den Kommissionen sowie im Kultusministerium verarbeitet und genutzt. Außerdem wurden Gutachten über die Leistungen der Antragsteller in Lehre und Forschung von anerkannten Fachleuten auf Anforderung der Überleitungskommissionen angefertigt.
Ich hatte verschiedene Petitionen vorliegen, die es angebracht erscheinen ließen, den Umgang mit diesen Daten im Kultusministerium zu kontrollieren und durch eine Beratung weitere Beschwerden zu vermeiden. Meinen Besuch hatte ich zwei Wochen vor dem Termin bei der Kultusministerin schriftlich angekündigt und den Gegenstand der Kontrolle mitgeteilt.
Das Ministerium verfügt über Akten und Dateien mit personenbezogenen Daten aus der Arbeit der genannten Kommissionen. Ich konnte mich vom sachgemäßen und sorgsamen Umgang mit den Akten überzeugen. Die technisch-organisatorischen Maßnahmen sowie der bauliche Datenschutz entsprechen im wesentlichen dem erforderlichen Standard. Empfehlungen zur weiteren Verbesserung des Niveaus habe ich in meinem Bericht gegeben.
Einige Betroffene hatten Anträge auf Einsichtnahme der in den Überleitungsakten befindlichen Fachgutachten gestellt. Für ihre berufliche Entwicklung sind die Gutachten von besonderer Bedeutung, und es ist ihr gutes Recht, den Inhalt zur Kenntnis zu nehmen. Die Gutachten enthalten aber auch personenbezogene Daten der Gutachter. Deshalb waren sie erst nach Anonymisierung von den Antragstellern einzusehen. Dieses Verfahren entspricht den datenschutzrechtlichen Anforderungen und zeigt auch, welche Bedeutung das Kultusministerium dem Schutz der darin enthaltenen Daten beimißt.
Mit der Ankündigung meiner Kontrolle hatte ich um Zusendung der
nach § 16 DSG MV vorzuhaltenden Dateibeschreibungen- und Geräteverzeichnisse
gebeten. Diese Unterlagen wurden mir erst während meines Besuches übergeben.
Sie enthalten die erforderlichen Angaben zur Struktur und zum Inhalt der
Dateien sowie zur verwendeten Hardware. Die automatisierte Verarbeitung
war zum Zweck der Kontrolle und Unterstützung der Vorgangsbearbeitung
notwendig. Die Dateien befanden sich auf den Festplatten der Rechner und
lagen in Form von Sicherungskopien auf Disketten oder Magnetbandkassetten
vor. Die Zugriffsregelungen entsprachen den datenschutzrechtlichen
Erfordernissen.
Die Dateien zu den Überleitungs- und Übernahmeverfahren konnte
ich nicht kontrollieren, weil das verwendete Rechnernetz wegen Auflösung
der Geschäftsstelle außer Betrieb gesetzt und demontiert worden
war. Die Rechentechnik selbst befand sich in Obhut des IT-Referates in
einem gesicherten Lagerraum des Ministeriums. Ein Konzept für die
weitere Nutzung der sensiblen Daten durch das Personalreferat sollte noch
erarbeitet werden. Meine Frage nach dem Ort der Aufbewahrung der
Sicherungskopien - in diesem Fall der Magnetbandkassetten - konnte von
niemandem beantwortet werden. Die Kopien waren trotz intensiver Suche der
Verantwortlichen des IT-Referates während der Kontrolle nicht
auffindbar. Erst Tage später erhielt ich einen Anruf, in dem mir
mitgeteilt wurde, daß sich die Sicherungskopien nunmehr angefunden hätten.
In meinem Bericht habe ich gegenüber der Kultusministerin allein
deswegen eine förmliche Beanstandung gemäß § 28 DSG
MV ausgesprochen. In einem abschließenden Gespräch mit dem
Staatssekretär habe ich nochmals auf die Einhaltung der Bestimmungen
des Datenschutzes hingewiesen und dringend empfohlen, einen internen
Datenschutzbeauftragten zu benennen.
2.14.2 Frei verfügbare Datenfelder auch an der Uni
Eine beim Rektor der Universität Rostock schriftlich angekündigte Kontrolle sollte zeigen, ob beim Umgang mit personenbezogenen Daten der Studenten und Mitarbeiter die datenschutzrechtlichen Bestimmungen eingehalten werden. Zu Beginn der Kontrolle wurde mir mitgeteilt, daß wegen personeller Probleme bisher noch kein interner Datenschutzbeauftragter benannt wurde. Die im folgenden beschriebenen und bei meiner Kontrolle festgestellten Mängel belegen jedoch, wie wichtig er in dieser Einrichtung ist.
In den Dateibeschreibungen waren nicht ausreichende oder falsche Rechtsgrundlagen angegeben, bzw. es war nur die auf der jeweiligen Verwaltungsebene erlassene Dienstanweisung ohne Bezug zur geltenden gesetzlichen Grundlage genannt.
Bei der Überprüfung der Datenbankanwendung eines Dezernates stellte ich fest, daß nicht genutzte Datenfelder frei verfügbar waren. Bei weiteren Kontrollen in meinem Zuständigkeitsbereich habe ich dies in gleicher Weise in anderen Datenbanken vorgefunden (siehe Punkt 2.11.2.). Frei zugängliche Datenfelder, die für die Erfüllung der Fachaufgabe nicht benötigt werden, schaffen Mißbrauchsmöglichkeiten und sind deshalb nicht zu billigen. Ich habe gefordert, daß durch die Programmentwickler die nicht benötigten Felder gesperrt werden.
Die Universität hat die in meinem Kontrollbericht angesprochenen Mängel
inzwischen beseitigt und die Dateibeschreibungen überarbeitet sowie
die Rechtsgrundlagen nunmehr richtig aufgeführt. Ein interner
Datenschutzbeauftragter wurde vierzehn Tage nach meiner Kontrolle benannt.
2.14.3 Forschungsvorhaben und datenschutzrechtliche Bestimmungen
Im Berichtszeitraum habe ich mehrere Anträge zur Nutzung personenbezogener Daten für Forschungszwecke erhalten, hauptsächlich aus dem medizinischen und soziologischen Bereich. Ich schließe daraus, daß das in § 30 DSG MV normierte Genehmigungsverfahren sowohl bei den Antragstellern als auch bei den Behörden noch nicht hinreichend bekannt ist. Deshalb werde ich demnächst eine Informationsschrift zu diesem Thema herausgeben.
Grundsätzlich können personenbezogene Daten, die zu einem
bestimmten Zweck erhoben wurden, ohne Einwilligung des Betroffenen für
ein Forschungsvorhaben nur dann genutzt werden, wenn die zuständige
oberste Aufsichtsbehörde die Genehmigung erteilt und wenn
1. die schutzwürdigen Belange des Betroffenen wegen der Art der
Daten, wegen ihrer Offenkundigkeit oder wegen der Art der Nutzung nicht
beeinträchtigt werden
oder
2. die zuständige oberste Aufsichtsbehörde festgestellt hat, daß
das öffentliche Interesse an der Durchführung des
Forschungsvorhabens die schutzwürdigen Belange des Betroffenen
erheblich überwiegt und der Zweck nicht anders erreicht werden kann.
Weiterhin ist zu beachten, daß die personenbezogenen Daten zu
anonymisieren sind, sobald der Forschungszweck erfüllt ist. Bis dahin
aber sind die personenidentifizierenden Merkmale gesondert zu speichern.
Die Genehmigung des Forschungsvorhabens ist dem LfD gem. § 30 Abs. 2
Satz 2 DSG MV von der obersten Aufsichtsbehörde mitzuteilen.
In der medizinischen Forschung werden häufig Daten beim Betroffenen mit dessen Einwilligung erhoben und anschließend für wissenschaftliche Zwecke verarbeitet und genutzt. In solchen Fällen sind die in den §§ 6 bis 19 DSG MV enthaltenen allgemeinen Bestimmungen zum Umgang mit personenbezogenen Daten und zum Inhalt der Einwilligungserklärung zu beachten. Eine Genehmigung von den zuständigen obersten Aufsichtsbehörden wird aus datenschutzrechtlicher Sicht hier nicht ausdrücklich verlangt.
Mißverständnisse habe ich auch zum Geltungsbereich von Einwilligungen vorgefunden. Wird die Verarbeitung oder Nutzung personenbezogener Daten für einen anderen Zweck beabsichtigt, z.B. wenn Patientendaten eines Krankenhauses für ein bestimmtes Forschungsvorhaben genutzt werden sollen, ist entweder eine erneute Einwilligung einzuholen oder für das Forschungsvorhaben nach dem zuerst beschriebenen Verfahren die Genehmigung zu beantragen.
Eine Veröffentlichung von personenbezogenen Daten aus
Forschungsvorhaben bedarf ebenfalls immer der Einwilligung des
Betroffenen. Gegen die Veröffentlichung aggregierter Daten, z.B. in
Form von Statistiken, bestehen aus datenschutzrechtlicher Sicht hingegen
keine Bedenken. Voraussetzung ist allerdings, daß aus dem Material
kein Personenbezug hergestellt werden kann.
2.14.4 Noch immer kein Archivgesetz - so geiht dat nich, Fru Ministerin !
Eine besondere Form der Altlasten in den neuen Bundesländern sind personenbezogene Daten, die von Behörden der ehemaligen DDR erhoben, verarbeitet und genutzt wurden, nun aber von den öffentlichen Stellen nicht mehr benötigt werden. Sie werden auch als Altdaten bezeichnet und befinden sich in Akten, aber auch auf Datenträgern wie Disketten und Magnetbändern. Teilweise wurde mit diesen alten Beständen sorglos umgegangen und oft fehlte den Behörden der notwendige Platz, um sie sicher aufzubewahren. Ich wurde häufig gefragt, was damit geschehen soll.
Das DSG MV enthält zwar grundlegende Bestimmungen zur Festlegung der zuständigen Stelle für die Daten ehemaliger Einrichtungen, aber eine bereichsspezifische gesetzliche Regelung für historisches Material kann es freilich nicht ersetzen - das kann nur ein Landesarchivgesetz. Mecklenburg-Vorpommern hat als einziges der neuen Länder noch nicht einmal einen Regierungsentwurf für ein Archivgesetz. Anhand zweier Petitionen möchte ich die durch das Fehlen eines Landesarchivgesetzes aufgetretenen Schwierigkeiten darlegen.
Im Dezember 1992 wurde mir von einem Ausschußvorsitzenden eines
zeitweiligen Untersuchungsausschusses des Kreistages S. mitgeteilt, daß
man bei der Suche nach Akten über geplante Internierungslager auf
Schriftstücke der ehemaligen Abteilung Inneres, Referat
Kirchenfragen, gestoßen sei. Die Schriftstücke enthielten u.a.
Spitzelprotokolle über kirchliche Mitarbeiter und die Tätigkeit
kirchlicher Organisationen. Die betroffenen Pastoren hatten ein Interesse
daran, das gesammelte Material einzusehen.
Der Ausschußvorsitzende hatte sich mit seinen Fragen zur weiteren
Behandlung der Akten und den Modalitäten der Einsichtnahme durch die
Betroffenen bereits an die Gauck-Behörde gewandt, konnte dort
allerdings keine Klärung erreichen und hat mich deshalb gebeten,
Antworten auf die Fragen zu finden. Weil es heute ein Referat
Kirchenfragen in den Kreisverwaltungen nicht gibt, habe ich gemäß
§ 34 Abs.1 DSG MV den Innenminister gebeten, die zuständige öffentliche
Stelle für die Akten zu bestimmen. Des weiteren hatte ich im
Kultusministerium über den Stand der Gesetzgebung zum
Landesarchivgesetz nachgefragt und um die Zusendung eines Entwurfes
gebeten, falls ein solcher vorliegt.
Ende März 1993 wurde mir vom Innenminister als zuständige
speichernde Stelle das Kultusministerium benannt. Im April habe ich schließlich
beim Kultusministerium nachgefragt, unter welchen Voraussetzungen die
Betroffenen Einsicht nehmen können und darauf hingewiesen, daß
in den Schriftstücken personenbezogene Daten von Dritten enthalten
sind. Im Juli wurde durch das Kultusministerium der weitere Umgang mit den
Akten unter Berücksichtigung der Interessen der Betroffenen
entschieden. Ein Landesarchivgesetz hätte diesen umständlichen
und zeitaufwendigen Weg erspart.
In einem anderen Fall bat mich ein Mitarbeiter des Landeshauptarchivs
Schwerin in folgender Angelegenheit um Rat:
Ein Journalist des NDR wollte anläßlich des Jahrestages (12.
Dezember 1986) des Absturzes eines sowjetischen Flugzeuges, das mit einer
Schulklasse von Schweriner Kindern besetzt war, einen Fernsehbeitrag
senden. Bei diesem Absturz kamen 19 Kinder ums Leben. Es wurde damals
gemutmaßt, daß der Pilot betrunken gewesen sei.
Es ging dem Journalisten nach eigenem Bekunden allein um die Darstellung,
wie damals DDR-Behörden versucht haben sollen, die Umstände, die
zu dem Flugzeugabsturz führten, zu vertuschen. Zu diesem Zwecke
begehrte er nun Einsicht in archivierte Akten, die vom Rat des Bezirkes
Schwerin durch das Landeshauptarchiv übernommen worden waren (ca. 80
- 100 Seiten).
Es stellten sich hier gleich mehrere Fragen, die sowohl
datenschutzrechtliche als auch archivrechtliche Aspekte tangieren. Zum
Hintergrund:
Grundsätzlich wird Archivgut 30 Jahre nach Entstehung der Unterlagen
für die Benutzung freigegeben. Unbeschadet dieser allgemeinen
Schutzfrist dürfen Akten und Daten, die sich auf natürliche
Personen beziehen (personenbezogenes Archivgut) erst nach einer bestimmten
Zeit nach dem Tod (die Fristen hierfür sind in den einzelnen
Archivgesetzen der Länder unterschiedlich geregelt) durch Dritte
genutzt werden. Nach dem Willen des Gesetzgebers (§ 2 a des Gesetzes
zur Änderung des Bundesarchivgesetzes vom 13. März 1992, BGBl.
1992, Teil I, S. 506) soll jedoch für Unterlagen der Sozialistischen
Einheitspartei Deutschlands (SED), der mit dieser Partei verbundenen
Massenorganisationen und juristischen Personen nicht die 30-jährige
Schutzfrist gelten. Sinn und Zweck dieser Gesetzesnovellierung war und ist
es, die Aufarbeitung der DDR-Geschichte nicht zu behindern. Die vorstehend
genannten Archivmaterialien sollen ohne lange Schutzfristen den Bürgern
bei Vorliegen eines berechtigten Interesses grundsätzlich
offenstehen. Wenn man also danach zu dem Ergebnis käme, daß die
30-jährige Frist nicht greift, ist fraglich, ob eine weitere
zeitliche Frist - beispielsweise 10 Jahre nach Tod - einzuhalten ist. Von
einer solchen Bestimmung kann dann wieder eine Ausnahme gemacht werden,
wenn die Einsichtnahme bzw. Nutzung des Archivgutes im öffentlichen
Interesse liegt. Wiederum wird in einem solchen Fall unterschieden, ob es
sich um personenbezogenes oder nicht personenbezogenes Archivgut handelt.
Im konkreten Fall waren also sehr unterschiedliche rechtliche Probleme und
Interessen abzuwägen:
Nicht nur die Interessen des Journalisten, sondern auch die Interessen der
Eltern der verunglückten Schulkinder sind zu berücksichtigen. Es
können hier nur Vermutungen angestellt werden, ob diese an einer
Aufklärung interessiert sind oder ob sie einer Berichterstattung eher
ablehnend gegenüber stehen.
Angesichts des ohne Landesarchivgesetz weitgehend rechtsfreien Raumes habe
ich empfohlen, dem Journalisten allenfalls Fotokopien zur Verfügung
zu stellen, in denen alle personenbezogenen Daten anonymisiert sind. Diese
Entscheidung war wegen des mit einer Anonymisierung verbundenen
Verwaltungsaufwandes kurzfristig zu treffen. Deshalb wählte das
Landeshauptarchiv folgende Lösung: Die Akten, die keine
personenbezogenen Daten enthielten, wurden dem Journalisten zur Einsicht überlassen.
Aus den Archivunterlagen, in denen personenbezogene Daten vorhanden waren,
wurde ihm der Inhalt der Unterlagen von einer Mitarbeiterin des Archivs -
ohne Nennung von Namen - vorgetragen. Gegen diese Verfahrensweise hatte
ich aus datenschutzrechtlicher Sicht keine Bedenken; aber viele Überlegungen
wären uns erspart geblieben, wenn wir ein Landesarchivgesetz hätten.
Die bestehende Rechtsunsicherheit sowohl beim Archivpersonal als auch bei den Bürgern macht es dringend erforderlich, ein Landesarchivgesetz in Kraft zu setzen. Leider hat die Kultusministerin noch im September 1993 keinen Handlungsbedarf hierfür gesehen. Fru Ministerin - so geiht dat nich.