JurPC Web-Dok. 184/2007 - DOI 10.7328/jurpcb/20072211181

Hans-Hermann Schild *

Die mangelhafte vollständige Unabhängigkeit des behördlichen Datenschutzbeauftragten im Vollzuge des Hessischen Datenschutzgesetzes und die möglichen Folgen

JurPC Web-Dok. 184/2007, Abs. 1 - 29


I n h a l t s ü b e r s i c h t
1.   Die gesetzliche Regelung
2.   Umsetzung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EG-Datenschutzrichtlinie)
3.   Vollständige Unabhängigkeit des behördlichen Datenschutzbeauftragten
4.   Erfordernis von Verfahrensverzeichnis und Vorabkontrolle
5.   Verfahrensverzeichnis als Grundlage für eine rechtmäßige Datenverarbeitung
6.   Vorabkontrolle als Grundlage für eine rechtmäßige Datenverarbeitung
7.   Stellung des behördlichen Datenschutzbeauftragten
8.   Mögliche Folgen
In einem Beitrag zur automatisierten Datenverarbeitung in der Hessischen Justiz(1) wurde die Frage aufgeworfen, "ob der behördliche Datenschutzbeauftragte eine 'unabhängige Überwachung' im Sinne der EG-Datenschutzrichtlinie überhaupt leisten kann und damit, ob die EG-Datenschutzrichtlinie überhaupt wirksam umgesetzt worden ist oder nicht vielmehr eine Vertragsverletzung genauso gegeben ist, wie bei der fehlenden Unabhängigkeit der Aufsichtsbehörden für den nicht öffentlichen Bereich."(2) Diese Frage soll in dem folgenden Beitrag näher untersucht werden.JurPC Web-Dok.
184/2007,  Abs. 1

1. Die gesetzliche Regelung

Nach § 5 Abs. 1 HDSG hat jede datenverarbeitende Stelle des Landes Hessen einen behördlichen Datenschutzbeauftragten und einen Vertreter zu bestellen. In dieser Tätigkeit ist er frei von Weisungen und darf nicht benachteiligt werden. Darüber hinaus ist er im erforderlichen Umfang von der Erfüllung anderer Aufgaben freizustellen. Abs. 2
Neben den sonstigen Aufgaben nach der Novellierung des Hessischen Datenschutzgesetzes seien hier beispielhaft die wichtigsten zwei neuen Zuständigkeiten genannt: das Führen der Verzeichnisse nach § 6 Abs. 1 HDSG (Verfahrensverzeichnisse) und die Prüfung nach § 7 Abs. 6 letzter Satz HDSG, die so genannte Vorabkontrolle. Beide spielen eine besondere Rolle für die Verwendung personenbezogener Daten. Abs. 3

2. Umsetzung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EG-Datenschutzrichtlinie)(3)

Das Bundesland Hessen hat im Hessischen Datenschutzgesetz Art. 18 EG-Datenschutzrichtlinie betreffend den Inhalt der Meldung in § 6 Abs. 1 HDSG und die Vorabkontrolle nach Art. 20 EG-Datenschutzrichtlinie in § 7 Abs. 6 HDSG umgesetzt. Dabei hatte sich der Landesgesetzgeber entschieden von der Möglichkeit der Meldung an den behördlichen Datenschutzbeauftragten gem. Art. 18 Abs. 2 zweiter Spiegelstrich EG-Datenschutzrichtlinie Gebrauch zu machen. Hiernach kann auf eine zentrale Meldung an die so genannte Kontrollstelle(4) im Rahmen des Subsidiaritätsprinzips verzichtet werden, wenn bei der verantwortlichen Stelle ein Datenschutzbeauftragter bestellt wird, dem insbesondere die unabhängige Überwachung der Anwendung der zur Umsetzung der Richtlinie erlassenen einzelstaatlichen Bestimmungen und die Führung des Verfahrensverzeichnisses obliegt. Dies um sicherzustellen, dass die Rechte und Freiheiten der betroffenen Personen durch die Verarbeitung nicht beeinträchtigt werden. Abs. 4

3. Vollständige Unabhängigkeit des behördlichen Datenschutzbeauftragten

Nach dem Erwägungsgrund 49 muss ein betrieblicher oder behördlicher Datenschutzbeauftragter seine Aufgaben in vollständiger Unabhängigkeit ausüben können. Da der Datenschutzbeauftragte den Platz der Kontrollstelle gem. Art. 28 EG-Datenschutzrichtlinie einnimmt, muss er ebenso unabhängig sein wie diese.(5) Art. 28 EG-Datenschutzrichtlinie fordert insoweit von der Kontrollstelle die völlige Unabhängigkeit, welche nach der Auffassung der Kommission in Deutschland bei den Kontrollstellen insbesondere für den nicht-öffentlichen Bereich nicht gegeben ist.(6) Die völlige Unabhängigkeit umfasst nach Auffassung der Kommission Abs. 5
- die institutionelle Unabhängigkeit, d.h. die Kontrollstellen sind keiner anderen Staatsgewalt untergeordnet, Abs. 6
- die funktionelle Unabhängigkeit, d.h. die Kontrollstellen unterliegen in Bezug auf den Inhalt und Umfang ihrer Tätigkeit keinerlei Weisung, Abs. 7
- die materielle Unabhängigkeit, d.h. die Kontrollstellen verfügen über einen eigenen Haushalt, über den sie selbständig verfügen können.(7)Abs. 8
Vorgaben, die bei vielen Aufsichtsbehörden für den nicht-öffentlichen Bereich - wie auch bei den behördlichen Datenschutzbeauftragten in Hessen - in dieser Form kaum vorliegen. Abs. 9

4. Erfordernis von Verfahrensverzeichnis und Vorabkontrolle

Ausgelöst durch mehrere Gerichtsverfahren(8), welche sich mit der Einführung von SAP R/3 HR in der Verwaltung des Landes Hessen zur Verarbeitung der Beschäftigtendaten befassten, hatte die Hessische Landesregierung in einer kleinen Anfrage des Abgeordneten Dr. Jürgens (Bündnis 90/Die Grünen)(9) auf die Frage 4 wie folgt geantwortet: Abs. 10
Teilt die Hessische Landesregierung die Auffassung, dass mangels ordnungsgemäßen vollständigen Verfahrensverzeichnisses und fehlender Vorabkontrolle nach Art 20 EG-Datenschutzrichtlinie derzeit eine weitere Verarbeitung von Daten der Beschäftigten der Hessischen Landesverwaltung unzulässig ist?Abs. 11
Nein. Die Zulässigkeit der Verarbeitung personenbezogener Daten durch Behörden der Landesverwaltung beurteilt sich unmittelbar nach § 7 Abs. 1 Hessisches Datenschutzgesetz (HDSG), nicht nach der EG-Datenschutzrichtlinie. Das Verfahrensverzeichnis nach § 6 HDSG gehört nicht zu den Voraussetzungen für die Zulässigkeit der Verarbeitung personenbezogener Daten nach § 7 Abs. 1 HDSG.Abs. 12
Hinsichtlich des Verfahrensverzeichnisses verweise ich auf die Antwort zu Frage 3. Eine Vorabkontrolle wurde zu Beginn des Verfahrens erstellt.Abs. 13
Entgegen der Auffassung der Hessischen Landesregierung regelt jedoch Art. 18 Abs. 1 EG-Datenschutzrichtlinie, dass vor einer Realisierung einer Anwendung eines automatisierten Verfahrens eine Meldung zu erfolgen hat, deren Mindestinhalt in Art. 19 EG-Datenschutzrichtlinie geregelt ist. Mithin ist, wie in § 4 g Abs. 1 BDSG geregelt, ein Verfahrensverzeichnis (eine Meldung) vor der Einführung oder wesentlichen Änderung eines Verfahrens zu erstellen und dem behördlichen Datenschutzbeauftragten vorzulegen. Abs. 14

5. Verfahrensverzeichnis als Grundlage für eine rechtmäßige Datenverarbeitung

In der zuvor erwähnten Rechtsprechung der ersten Instanz wurde daher davon ausgegangen, dass das Verfahrensverzeichnis die Grundlage für einen rechtmäßigen Umgang mit personenbezogenen Daten im Sinne von Art. 6 EG-Datenschutzrichtlinie bildet und damit eine Rechtmäßigkeitsvoraussetzung für eine automatisierte Verarbeitung darstellt.(10) Dies insbesondere, da der Hessische Gesetzgeber von der Möglichkeit der Vereinfachung nach Art. 18 Abs. 2 EG-Datenschutzrichtlinie keinen Gebrauch gemacht hat. Fehlt eine Meldung oder ist diese nicht vollständig, liegt keine Datenverarbeitung nach Treu und Glauben nach Art. 6 Abs. 1 Buchstabe b) EG-Datenschutzrichtlinie vor. Denn diese verlangt nach Nummer 38 der Erwägungsgründe, dass die betroffenen Personen in der Lage sind, das Vorhandensein einer Verarbeitung zu erfahren und ordnungsgemäß und umfassend über die Bedingungen der Erhebung informiert zu werden. Nach Nummer 48 der Erwägungsgründe dient das Meldeverfahren der Offenlegung der Zweckbestimmungen der Verarbeitung sowie ihrer wichtigsten Merkmale mit dem Zweck der Überprüfung ihrer Vereinbarkeit mit den einzelstaatlichen Vorschriften zur Umsetzung der EG-Datenschutzrichtlinie. Insoweit bedarf es einer vollständigen und detaillierten Meldung, in der u.a. alle Daten und ihre Verwendungszwecke genauso erfasst sind, wie auch die Fristen ihrer Löschung. Abs. 15
Wenn aber keine oder eine nur unvollständige Meldung vorliegt, kann die Vereinbarkeit mit dem geltenden Recht nicht überprüft werden. Dies wäre z.B. der Fall, wenn die einzelnen Zwecke (auch für Auswertungen) und die jeweiligen Rechtsgrundlagen für die einzelnen Zwecke nicht vollständig dargelegt und in der Meldung aufgenommen wurden. Abs. 16

6. Vorabkontrolle als Grundlage für eine rechtmäßige Datenverarbeitung

Dies gilt erst Recht für die nach Art. 20 EG-Datenschutzrichtlinie vorgeschriebene Vorabkontrolle. Sie ist nur möglich, wenn eine vollständige Meldung vorliegt. Die Vorabkontrolle ist zwar in § 7 Abs. 6 HDSG geregelt worden, jedoch nicht im Sinne der EG-Datenschutzrichtlinie, wie dies die Hessische Landesregierung in ihrer Antwort selbst einräumt. Abs. 17
Denn nach Absatz 2 Satz 1 und 2 des § 7 HDSG ist zunächst nicht der behördliche Datenschutzbeauftragte der einführenden Behörde (vgl. Definition in § 3 Abs. 1 HDSG) für die "Vorabkontrolle" zuständig, sondern die Stelle, welche für den "Einsatz" verantwortlich zeigt. Dies ist in den zuvor erwähnten Gerichtsverfahrensfällen nach Auffassung der Hessische Landesregierung, das für sie handelnde Hessische Ministerium des Innern und für Sport. Abs. 18
Die "Vorabkontrolle" hat nach der Bekundung eines Mitarbeiters des Hessischen Datenschutzbeauftragten in der damaligen mündlichen Verhandlung das Hessische Ministerium des Innern erstellt. Dabei wies er darauf hin, dass es damals ein Mitarbeiter der HZD war, der der Projektleitung HR beigestellt wurde. Er habe sich informiert, was Vorabkontrolle bedeute und aufgrund der damaligen Gegebenheiten eine entsprechende Erklärung entworfen. Abs. 19
Diese "Vorabkontrolle" wird sodann aber nach § 7 Abs. 6 letzter Satz HDSG dem behördlichen Datenschutzbeauftragten zur Prüfung zugeleitet. Hierbei handelt es sich nunmehr um den behördlichen Datenschutzbeauftragten der verantwortlichen Stelle, d.h. der Behörde i.S.d. § 3 Abs. 1 HDSG, bei der das automatisierte Verfahren eingesetzt werden soll. Dieser behördliche Datenschutzbeauftragte ist die "Kontrollstelle" i.S.d. Art. 18 Abs. 2 zweiter Spiegelstrich EG-Datenschutzrichtlinie. Seine Prüfung ist letztendlich und ausschließlich die Vorabkontrolle im Sinne der EG-Datenschutzrichtlinie. Das Verfahren davor soll ihm lediglich bei seiner Aufgabe helfen. Abs. 20

7. Stellung des behördlichen Datenschutzbeauftragten

Die Prüfung, ob eine Verarbeitung spezifische Risiken für die Rechte und Freiheiten der betroffenen Personen beinhaltet, ist nach Art. 20 Abs. 1 EG-Datenschutzrichtlinie vor Beginn der Verarbeitung durchzuführen. Wie kann aber ein behördlicher Datenschutzbeauftragter eine Vorabkontrolle durchführen, wenn das Verfahrensverzeichnis und mithin die Meldung unvollständig oder gar fehlerhaft ist ? Abs. 21
Und selbst wenn sie vollständig sein sollte, stellt sich in Fällen der vorliegenden Art die Frage, was eine Überprüfung bei Entdeckung von Problemen bewirken soll. Führt doch jemand ganz anderer als der Behördenleiter das Verfahren ein, mit der Folge, dass ein möglicher Korrekturbedarf erst gar nicht berücksichtigt wird.(11)Abs. 22
Hinzu kommt, dass dem behördlichen Datenschutzbeauftragten die Möglichkeit einer gerichtlichen Überprüfung fehlt, wie dies Erwägungsgrund 55 anspricht und in Art. 28 Abs. 3 EG-Datenschutzrichtlinie für die Kontrollstelle geregelt wurde. Abs. 23
Die Funktion des behördlichen Datenschutzbeauftragten dürfte sich zudem vom zeitlichen Umfang her, der für die Prüfung eines umfangreichen Verfahrens erforderlich ist, eher auf die Darstellung eines "Feigenblattes" beschränken. Denn gesonderte Freistellungen und Zeitkontingente fehlen. So ist trotz der Einführung des umfangreichen Personalverwaltungsverfahrens SAP R/3 HR oder des Verfahrens LUSD (Zentrale Lehrer- und Schüler-Datenbank) beispielsweise im Schulbereich für keinen Datenschutzbeauftragten auch nur eine Stunde der Freistellung vorgesehen.(12) Trotz umfangreicher Regelungen zu Stellung und Aufgaben des behördlichen Datenschutzbeauftragten in der Schule durch die immer noch geltende Verordnung über die Verarbeitung personenbezogener Daten in Schulen(13)/(14) enthält die Verordnung zur Änderung der Verordnung über die Pflichtstunden der Lehrkräfte, über die Anrechnung dienstlicher Tätigkeiten und über Pflichtstundenermäßigungen (Pflichtstundenverordnung)(15) für die Tätigkeit eines Datenschutzbeauftragten schier gar nichts und werden aus dem der Schulverwaltung zur Verfügung gestellten knappen Deputat ebenfalls keine Stunden für den Datenschutzbeauftragten eingeräumt. Die gängige Begründung ist hier - wie auch bei der sonstigen Verwaltung -, dass er ja nichts zu tun habe. Diese Aussage stimmt allenfalls insoweit, als Schulleiter - aber auch sonstige Behördenleiter - mangels eigener Kenntnis eine Beteiligung des behördlichen Datenschutzbeauftragten nicht in Betracht ziehen und ihm deshalb bereits nichts zuleiten und ihn auch nicht beteiligen. Abs. 24

8. Mögliche Folgen

Soweit es um die fehlende Umsetzung und das Praktizieren der im Hessischen Datenschutzgesetz geregelten Umsetzung der EG-Datenschutzrichtlinie geht, sind die obersten Landesbehörden gehalten die Ausführung des Hessischen Datenschutzgesetzes sowie der anderen Vorschriften über den Datenschutz in ihrem Bereich sicher zu stellen (§ 1 Abs. 2 HDSG). Dazu dürfte die Sicherstellung von Sach- aber gerade auch Zeitmitteln zählen, um dem behördlichen Datenschutzbeauftragten zum einen die Möglichkeit der Information durch Schulungen usw. zu eröffnen, aber auch das zur Verfügung Stellen des tatsächlich notwendigen Zeitbudgets, um die Aufgaben z.B. einer Vorabkontrolle überhaupt leisten zu können. Und das notwendige Zeitbuget ist bei der Einführung eines Personalverwaltungsverfahrens oder eines so umfangreichen Systems wie der "LUSD" nicht gerade gering anzusetzen und bedarf viel Zeit oder auf neudeutsch "Mannjahre". Bis dahin fehlt es an der erforderlichen völligen Unabhängigkeit, mit der Folge, dass keine ordnungsgemäßen Meldungen i.S.d. EG-Datenschutzrichtlinie erfolgen können, selbst wenn ein Verfahrensverzeichnis vollständig wäre. Abs. 25
Daher sollten die obersten Landesbehörden im Rahmen ihre Verpflichtung nach § 1 Abs. 2 HDSG neben dem notwendigen bis 100% erforderlichen Zeitkontingent dafür sorgen, dass die behördlichen Datenschutzbeauftragten überhaupt über die erforderliche Sachkenntnis verfügen und soweit erforderlich entsprechend geschult werden, um ihre Aufgaben überhaupt wahrnehmen zu können. Abs. 26
Soweit die Landesregierung nicht bereit ist, das Hessische Datenschutzgesetz richtlinienkonform auszulegen, bestünde hier im Rahmen gerichtlicher Verfahren die Möglichkeit, die Auslegungsfragen dem Europäischen Gerichtshof vorzulegen. Der Einzelne - auch der behördliche Datenschutzbeauftragte als Feigenblatt - könnte sich auch an den Hessischen Datenschutzbeauftragten oder gar an die Kommission wenden, wie dies bei dem laufenden Vertragsverletzungsverfahren bezüglich der Kontrollbehörden der Fall war.(16) Die Gefahr der Feststellung einer Vertragsverletzung erscheint nicht ausgeschlossen. Abs. 27
Eingeführte automatisierte Verfahren zur Verarbeitung personenbezogener Daten sind wegen fehlenden oder unvollständigen Verfahrensverzeichnissen sowie fehlenden Vorabkontrollen rechtwidrig(17) und damit alle dort gespeicherten personenbezogenen Daten zu löschen, § 19 Abs. 4 HDSG. Abs. 28
Eigentlich kann diese Konsequenzen niemand ernsthaft wollen, nur geschehen ist bisher ebenfalls nicht.
JurPC Web-Dok.
184/2007,  Abs. 29

Fußnoten:

(1) Siehe Schild, Automatisierte Datenverarbeitung in der Hessischen Justiz - unter Berücksichtigung des Zweiten Gesetzes zur Änderung des Datenverarbeitungs-verbundgesetzes vom 4.12.2006 (GVBl. I S. 618) -, JurPC Web-Dok. 155/2007, Abs. 1 - 19, http://www.jurpc.de/aufsatz/20070155.htm.
(2) JurPC Web-Dok. 155/2007, Abs. 8.
(3) ABl. EG Nr. L 281 vom 23.11.1995, S.31.
(4) Dies wäre in Hessen der Hessische Datenschutzbeauftragte.
(5) Siehe Ehmann/Helfrich, EG-Datenschutzrichtlinie - Kommentar, Art. 18 Rdnr. 15. (6) Hier hat die Kommission ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland eingeleitet und die Klage vor dem EuGH beschlossen; siehe Pressemitteilung http://www.heise.de/newsticker/meldung/93720 sowie MdB Tauss, http://www.tauss.de/presse/presse_2007/20070802_datenschutzbehoerden.
(7) Mit Gründen versehene Stellungnahme der Kommission, 2003/4820 K(2006) 6291, S. 8.
(8) Siehe dazu VG Wiesbaden, Beschluss vom 4.10.2004, Az. 23 L 2121/04; Beschlüsse vom 23.05.2005, Az. 23 LG 485/05; 23 LG 511/05, 23 LG 560/05; Beschluss vom 27.06.2005, Az. 23 LG 765/05.
(9) Kleine Anfrage des Abg. Dr. Andreas Jürgens (BÜNDNIS 90/DIE GRÜNEN) vom 21.07.2005 betreffend SAP R/3 HR und Antwort des Ministers des Innern und für Sport, LT-Drs. 16/4288.
(10) Der Hessische Verwaltungsgerichtshof hat sich mit der Frage erst nicht befasst und für die aus seiner Sicht zu entscheidende Frage die Ausführungen der ersten Instanz für unerheblich betrachtet; siehe Beschluss vom 10.06.2005, Az. 22 TH 1497/05.
(11) Bei SAP R/3 HR soll statt des Dienststellenleiters die Hessische Landesregierung für die Einführung verantwortlich gewesen sein, da es sich um keine Maßnahme der einzelnen Dienststelle handele; vgl. Hess.VGH, Beschluss vom 10.06.2005, Az. 22 TH 1497/05, Rdnr. 24, zitiert nach JURIS.
(12) Stichprobenhafte Nachfragen bei Schulleitern und Datenschutzbeauftragten ergab dabei sogar, dass sie überhaupt nicht oder erst durch die Nachfrage auf das Problem der Beteiligung und Prüfung aufmerksam gemacht worden sind.
(13) Die VO ist nach altem Recht erlassen worden. Im Bereich des Schulrechts wurden die Vorgaben der EG-Datenschutzrichtlinie bis heute nicht berücksichtigt
(14) Amtsblatt des Hessischen Kultusministeriums und des Hessischen Ministeriums für Wissenschaft und Kunst 1994 S. 114, berichtigt in ABl. 1994 S. 206.
(15) Vom 3.12.2003, ABl. 2004 S. 2.
(16) § 28 Abs. 2 HDSG sieht nur eine Anrufung des Hessischen Datenschutzbeauftragten ohne Einhaltung des Dienstweges vor, wobei gleichzeitig darauf hingewiesen wird, dass die dienstrechtlichen Pflichten der Beschäftigten im übrigen unberührt blieben. Siehe auch Art. 28 Abs. 4 EG-Datenschutzrichtlinie.
(17) Siehe zum fehlerhaften Verfahrensverzeichnis, Bizer, Hat ein fehlerhaftes Verfahrensverzeichnis Rechtsfolgen für die Betroffenen?, DuD 2005 S. 736; ferner Bäumler, Breinlinger, Schrader, Datenschutz von A - Z, V900 Vorabkontrolle.
* Hans-Hermann Schild ist Richter am Verwaltungsgericht in Wiesbaden.
[ online seit: 20.11.2007 ]
Zitiervorschlag: Autor, Titel, JurPC Web-Dok., Abs.
Zitiervorschlag: Schild, Hans-Hermann, Die mangelhafte vollständige Unabhängigkeit des behördlichen Datenschutzbeauftragten im Vollzuge des Hessischen Datenschutzgesetzes und die möglichen Folgen - JurPC-Web-Dok. 0184/2007