1. Vorgeschichte
Seit über sieben Jahren werden Entwürfe zur Novellierung des BDSG vorgelegt. Allgemeine Begründung ist, die seit der Verabschiedung des BDSG im Jahre 1977 gemachten Erfahrungen und den technologischen Fortschritt auf dem Gebiet der ADV mit der Neufassung des BDSG zu berücksichtigen. Der vorliegende Regierungsentwurf weist gegenüber den Vorentwürfen vielfältige redaktionelle Änderungen auf, die zum Teil materielle Verbesserungen suggerieren, bei näherer Analyse jedoch die bisherigen Bedenken in aller Regel fortbestehen lassen. Die datenschutzrechtlichen Streitfragen der letzten Jahre werden – so das Urteil vorweg – voll zu Lasten der BürgerInnen entschieden.
Im folgenden werden die Auswirkungen der geplanten Novellierung des BDSG insbesondere für die Arbeit der sog. Sicherheitsbehörden untersucht, soweit sie vom BDSG als Querschnittsgesetz betroffen sind.
2. Detailkritik
Zu 1 Abs.3 Nr.1 und 2: Einschränkung des Geltungsbereichs
Nr.1: Nach Nr.1 sollen Dateien, die ausschließlich aus verarbei-tungstechnischen Gründen vorübergehend erstellt und nach ihrer verar-beitungstechnischen Nutzung automatisch gelöscht werden, von den Bestimmungen des BDSG freigestellt sein. Die tatsächlichen Auswirkungen dieser unscheinbaren Änderung gegenüber der bisherigen Gesetzeslage dürften insbesondere im Sicherheitsbereich erheblich sein. Diese Bestimmung ist interpretationsoffen, denn „verarbeitungstechnische Gründe“ können für darüber hinausgehende Nutzungen Vorwand sein sowie diesem Vorschub leisten. Erinnert sei an den bisher spektakulärsten Fall einer nach geltender Rechtslage unzulässigen, technisch bedingten Zwischendatei: die zentrale Erfassung aller „Kunden“ bei der Herstellung des maschinenlesbaren Personalausweises. Hätte man wirklich jede anderweitige Nutzung gesetzlich ausschließen wollen, dann hätte man dies schlicht in den Gesetzestext hineinschreiben können.
Nr.2: Diese neue Bestimmung löst in bedrohlicher Weise den bisher strengen und unzweideutigen Begriff einer „internen Datei“ auf. Nach bisherigem Recht ist eine Datei als „interne“ dadurch definiert, daß sie nicht dazu bestimmt ist, aus ihr Daten weiterzugeben. Folglich gelten für interne Dateien nicht die datenschutzrechtlichen Schutzbestimmungen. Dieser Entw. lädt ausdrücklich dazu ein, aus internen Dateien „im Einzelfall“ Daten weiterzugeben und zu nutzen. Diese Vorschrift muß man vor dem Hintergrund der aktuellen Praxis von Sicherheitsbehörden sehen, überall dort „interne“ Dateien anzulegen, wo sie sich den gesetzlichen Bindungen der Datenschutzgesetze entziehen wollen – einschließlich der Kontrolle durch die DS-Beauftragten. Insbesondere in Baden-Württemberg hat die Polizei gerne zu diesem Mittel gegriffen, um jede datenschutzrechtliche Kontrolle fernzuhalten. Absehbare künftige Praxis: Mit internen Dateien wird wie mit übrigen Dateien gearbeitet, d.h. aus ihnen wird „im Einzelfall“ übermittelt und in sie eingespeichert, ohne daß sie datenschutzrechtlichen Kautelen und Kontrollen unterliegen.
Zu 3 Abs. 2: Dateien-Begriff
Anders als im Vorentwurf vom 14.5.85 (vgl. CILIP Nr.21), hat man nun erneut auf eine Präzisierung des Dateien-Begriffs verzichtet und die bisherige Unklarheit im geltenden BDSG über die Dateien-Qualität gemischter Systeme (manuelle Aktenführung und ADV-Hinweissysteme) beibehalten. Es kann also je-derzeit wieder der alte Streit aktiviert werden, ob Akten, die über Aktenerschließungssysteme auf ADV-Basis zu orten sind (wie der Kriminalaktennachweis KAN oder NADIS), unter den Dateibegriff fallen. Von Bedeutung ist dies in zweifacher Hinsicht:
Erstens bleibt nach wie vor strittig, ob die DS-Beauftragten zur Kontrolle auf die einer Speicherung zugrundeliegenden Akten zurückgreifen dürfen. Zwar wurde nach anfänglichen Differenzen von Seiten der Exekutive dieses Argument nicht mehr benutzt und die Kontrollkompetenz der DS-Beauftragten auch über die Akten hingenommen – jedoch nicht als feste Rechtsposition akzeptiert.
Zwar soll der DS-Beauftragte (vgl. 22) im einzelnen Beschwerdefall ausdrücklich auch auf das in den Akten gespeicherte Basiswissen zugreifen dürfen. Diese Beschränkung auf den einzelnen Beschwerdefall ist jedoch die rechtlich tückische Form, systematische Kontrollen außerhalb eines konkreten Beschwerdefalles als unzulässig zurückweisen zu können (vgl. die Kommentierung zum 22).
Zweitens hat die fortbestehende Unklarheit im Dateien-Begriff auch für die Anwendung des BDSG selbst Folgen, denn es gilt nur für in Dateien gespeicherte Daten. Der aktuelle SPD-Entwurf zum BDSG (BT-Drs.11/3730) bezieht Akten in den Geltungsbereich des BDSG mit ein.
Zu 3 Abs.3 Nr.3 b: Generelle Zulassung von online-Verfahren
Die hier erfolgende Neufassung des Übermittlungsbegriffs versteckt die folgenschwerste Veränderung dieses Entwurfs gegenüber dem Gesetz von 1977.
Nach dem Gesetz von 1977 gilt bei Einrichtung eines online-Verfahrens der gesamte Datenbestand als übermittelt. Dies hat zur Folge, daß auch für den gesamten Bestand eine Zugriffsberechtigung nachgewiesen werden muß. Die Rechtmäßigkeit des Zugriffs zu jeder Zeit auf jedes beliebige Datum ist nur innerhalb derselben Behörden und nur bei gemeinsamer Aufgabenstellung der betreffenden Stellen gegeben. Selbst dann, wenn wie im Falle der Staatsschutzabteilungen der Länderpolizeien und der Landesämter für VfS gemeinsame Aufgaben vorliegen, ist die Einrichtung eines Direktabrufverfahrens nach dem Wortlaut des geltenden BDSG nicht zulässig.
Die Datenschutzbeauftragten erhielten dadurch ein begrenztes legalistisches Argument, um gegen die zunehmende Vernetzung (nicht nur im sogenannten Sicherheitsbereich) zu opponieren. Der Aufbau solcher Verbunde und die Vorarbeiten dazu – für die Polizei betrifft dies insbesondere die Dateien der Meldebehörden, des Kraftfahrtbundesamtes und des Ausländerzentralregisters – waren Anlaß zu ständiger Kritik. Die Zunahme der Vernetzung konnte dadurch zumindest gebremst werden. Im Ergebnis lief diese Kritik auf sog. bereichsspezifische Datenschutzregelungen hinaus – z.B. im Melderecht oder im Gesetz über ZEVIS.
Die als „Fiktion“ bezeichnete Auffassung des Übermittlungsbegriffs im geltenden BDSG, nach der bei online-Verfahren der gesamte Datenbestand als übermittelt anzusehen ist, wird im vorliegenden Entw. durch eine Formel ersetzt, die auch bei automatischen Abrufverfahren nur den einzelnen Abrufvorgang als Übermittlung bewertet. Gleichzeitig wird in 9 Abs.1 die Einrichtung von online-Verfahren nur noch daran gebunden, daß diese „für die Aufgaben, Geschäftszwecke oder Ziele der speichernden Stelle oder des Empfängers angemessen“ seien. Damit bedarf es also nicht mehr eines eigenständigen Gesetzes, sondern nur noch eines bürokratischen Federstrichs, um solche Verfahren einzurichten bzw. bestehende zu legalisieren.
Die Prüfung der Berechtigung zur Übermittlung des jeweiligen Einzeldatums wird in 13 der anfragenden Stelle allein, dem Empfänger also, überantwortet.
Zu 9: Automatisierte Abrufverfahren (online)
Hier werden in Fortführung des Änderungsvorschlages in 3 Abs.3 Nr.3 die Rahmenbedingungen für die Zulassung und den Betrieb automatisierter Abrufverfahren aufgestellt. Anstelle einer bislang notwendigen spezi-algesetzlichen Ermächtigung zur Einrichtung von online-Verfahren (vgl. Kommentierung zuvor) begnügt sich der Entw. mit einer nichtssagenden Ange-messenheitsformel, die im Zweifelsfall immer zugunsten der Exekutive ausgehen wird. Zwar werden in Abs.2 die online-Anwender verpflichtet, Anlaß und Zweck des Abrufverfahrens, die Datenempfänger, die Art der zu übermittelnden Daten und die erforderlichen technischen und organisatorischen Maßnahmen schriftlich festzulegen. Die Betroffenen, also potentiell jede/r Bürger/in, erhalten jedoch kein Einsichtsrecht in diese, der generellen Zulässigkeitskontrolle der Systeme geltenden Unterlagen. Online-Verfahren bleiben hinter dem exekutiven Geheimnis-Kordon – nur der DS-Beauftragte ist „zu unterrichten“.
Eine Scheinbegrenzung erhält die Bestimmung in Abs.3 Satz 2, nach der bei Installierung von online-Verfahren im Sicherheitsbereich die jeweiligen obersten Landes- und Bundesbehörden zustimmen müssen.
Der SPD-Entwurf unterscheidet sich in dieser Frage nur unwesentlich. Es soll für die Einrichtung von online-Anschlüssen ausreichen, wenn eine „Rechts-vorschrift“ dies erlaubt, d.h. eine ministerielle Rechtsverordnung ( 4 SPD-Entw., BT-Drs. 11/3730).
Zu 12: Datenspeicherung, -veränderung und -nutzung, Zweckbindung
Dieser Paragraph hebt in Verbindung mit 13 systematisch das prinzipielle Verbot der Zweckentfremdung von Daten auf. Seine besondere Bedeutung erhält 12 Abs.2 und der dort aufgeführte Katalog von Zulässigkeitsvoraussetzungen dadurch, daß er durch Verweis auf 13 Abs.1 Nr.2 und 14 Abs.1 Nr.1 zugleich auch die bisherigen Grenzen der Weitergabe innerhalb der öffentlichen Verwaltung und der Weitergabe an private Stellen durchbricht.
Danach sollen die Daten, die innerhalb einer Behörde gem. Abs.3 zu anderen Zwecken als den ursprünglich vorgesehenen genutzt bzw. verändert werden dürfen, unter den gleichen Voraussetzungen an alle übrigen Stellen der öffentlichen Verwaltung und an beliebige private Stellen weitergegeben werden können. Hervorzuheben ist besonders Abs.3 Nr.3. Danach soll es genügen, daß die gewünschte Zweckentfremdung „offensichtlich“ im Interesse des Betroffenen liegt und von seiner mutmaßlichen Einwilligung gedeckt sei (worüber ausschließlich die Behörde selbst entscheidet!). Mit Nr.4 wird endgültig Abschied genommen vom Prinzip des Zweckentfremdungsverbotes und des Grundsatzes, daß Daten beim Betroffenen zu erheben sind. Denn die Verarbeitung und in der Konsequenz auch die Weitergabe einmal erhobener Daten soll zu allen zulässigen Zwecken ermöglicht werden, wenn nur eine anderwärts vorhandene Rechtsgrundlage theoretisch die Erhebung dieser Daten zulassen würde. Und diese Voraussetzung dürfte für fast alle bei den öffentlichen Verwaltungen gespeicherten Daten vorliegen, da die öffentliche Verwaltung Daten nur aufgrund gesetzlicher Ermächtigungen erheben darf.
Die in den Nr. 6, 7 und 8 zugelassenen Durchbrechungen bedeuten einen umfassenden Vorbehalt zugunsten der Sicherheitsbehörden (vgl. die Verweisungsvorschriften in 13 und 14 sowie die Parallelermächtigungen in den Entw. zum BVerfSchG, MAD-G und BND-G in dieser Ausgabe). Hierauf wird man sich berufen, wenn es wieder einmal um die Zulässigkeit von Rasterfahndungen oder sonstiger massenhafter Durchdringung oder Weitergaben gehen sollte. Da die entsprechenden, hier in Nr.6, 7 und 8 zugelassenen Befugnisse zugleich auch in den Novellierungsvorschlägen zum Polizeirecht (Musterentwurf) und der StPO vorgesehen sind, muß angenommen werden, daß man sie hier nur für den Fall aufgenommen hat, daß die entsprechenden Novellierungen des Polizeirechts und der StPO sich politisch nicht so schnell durchsetzen lassen.
Eine weitere schwerwiegende Verschlechterung des vorliegenden Entwurfs gegenüber dem von 1986 ist der Wegfall einer besonderen Schutzbestimmung für Daten, die einem Berufs- oder Amtsgeheimnis (z.B. ärztliche Schweigepflicht, Anwaltsgeheimnis etc.) unterliegen (vgl. CILIP 23, dort 9 Abs.3). Diese Daten können damit wie alle anderen Daten gespeichert und nach 13 unter denselben minimalen Voraussetzungen wie diese an andere Behörden übermittelt werden. Wissen andere öffentliche Stellen, daß solche besonders schützenswerte Daten gespeichert sind, so können sie auch ihre Übermittlung fordern und werden dabei auf keine besonderen gesetzlichen Hürden des BDSG treffen – es sei denn, bereichsspezifische Gesetze schlössen die Übermittlung ausdrücklich aus.
Zu 13: Datenübermittlung innerhalb des öffentlichen Bereiches
Zu den bisher schon geltenden Übermittlungsbefugnissen tritt durch Verweis auf 12 Abs.2 und dem dort aufgezählten Katalog eine zusätzliche Palette von Übermittlungsbefugnissen hinzu. Dadurch verändert das BDSG seinen Charakter. War es bisher zumindest strittig, ob 9 des derzeit geltenden BDSG ( 12 des Entw.) allein schon eine Befugnis zur Übermittlung von Daten darstellte, oder ob 9 BDSG nur auf die Notwendigkeit einer besonderen Befugnisnorm außerhalb der allgemeinen Datenschutzgesetze verwies, so ist nach der Entwurfsfassung der 13 zu einer sich selbst genügenden Befugnisnorm umstrukturiert worden. Dies wird mittels der Verweisung auf die Vorschriften in 12 Abs.2 ermöglicht. Denn dadurch werden die geringen Voraussetzungen, die für die Verarbeitung der Daten innerhalb einer Stelle gelten sollten, auch zur Voraussetzung der Übermittlung gemacht. So soll z.B. die von der Behörde als mutmaßlich angenommene Einwilligung der Betroffenen ausreichen, oder es soll die „Abwehr drohender Gefahren für das Gemeinwohl“ eine ausreichende Legitimation zur Weitergabe sein. (Die Formel von der „Gefahr für das Gemeinwohl“ lehnt sich nur sprachlich an die relativ festumrissene Formel von der „Gefahr für die öffentliche Sicherheit und Ordnung“ des Polizeirechts an. Die Gemeinwohl-Formel ist ohne begrenzende Konturen und meint das allgemeine Wohl, so wie es die auslegende Behörde verstehen darf.)
In 13 Abs.2 und 3 wird eine Änderung und Einschränkung der bisherigen, ohnehin weiten Grundsätze des Amtshilferechts vorgenommen. Bisher trugen sowohl die übermittelnde als auch die ersuchende Behörde Verantwortung für die Rechtmäßigkeit. Nun wird diese Verantwortungslast im Regelfall auf die anfragende Behörde allein übertragen. Dies entspricht im übrigen auch der Systematik der VerfSchG-, MAD-G- und BND-G-Entwürfe.
Die ersuchte Behörde hat überhaupt nur noch dann ein Recht, die Zulässigkeit der Datenübermittlung zu überprüfen, wenn hierzu ein „besonderer Anlaß“ besteht. Die ersuchende und an den Daten interessierte Behörde hat also ihre eigene Berechtigung zu prüfen – ein Unding.
Zu 14: Datenübermittlung an Stellen außerhalb des öffentlichen Bereiches
Bedeutsam ist auch hier wieder die Umgehung des spezifischen Geset-zesvorbehalts durch den Verweis auf die Voraussetzungen in 12 Abs.2. Es gilt das zu 12 und 13 Gesagte. Gespeicherte Daten können also unter den gleichen – lächerlich geringen – Voraussetzungen an Private weitergegeben werden wie innerhalb der öffentlichen Verwaltung.
Zu 15: Datenübermittlung an Stellen außerhalb des Geltungsbereiches dieses Gesetzes
Es gilt das zu 12 und 13 Gesagte. Ausländische Geheimdienste und Polizeidienststellen sind nach dieser Vorschrift mit bundesrepublikanischen Stellen gleichberechtigte Adressaten personenbezogener Daten (vgl. die „bereichsspezifischen“ Regelungen in 14 Entwurf BVErfSchG).
Zu 17: Auskunft an den Betroffenen
Generell soll das Auskunftsrecht des Einzelnen über ihn betreffende Daten dahingehend erweitert und verbessert werden, daß zusätzlich die Herkunft der Daten sowie deren eventuelle Empfänger in die Auskunftsverpflichtung miteinbezogen sind. Für den Sicherheitsbereich bleibt jedoch alles beim Alten. Abs.2 stellt klar, was durch die Rechtssprechung und durch die Praxis bereits gehandhabt wird: Den Sicherheitsbehörden ist es nicht untersagt, Auskunft zu erteilen.
Die „Sicherheitsbehörden“ nach Abs.2 Nr.1 (VfS, BND, MAD sowie „andere Behörden des Bundesministers der Verteidigung“) können nach ihrem eigenen Gu-sto Auskunft erteilen oder nicht. Die Sicherheitsbehörden in Nr.2 hingegen (Staatsanwaltschaft und Polizei) sind zur Auskunft verpflichtet, es sei denn, daß dem das „öffentliche Interesse“ entgegensteht. Diese Klarstellung entspricht der keineswegs bürgerfreundlichen einschlägigen Rechtsprechung (vgl. Hase in CILIP Nr. 16; Blanke in Nr. 28) .
Hintergrund für dieses Zwei-Klassen-Auskunftsrecht ist die Befürchtung, daß die Geheimdienste unter Legitimationsdruck geraten könnten, in dessen Gefolge sie zwar nicht die verweigerten Daten selbst preisgeben müßten, aber doch von ihnen insbesondere im Gerichtsverfahren erwartet würde, ihre Weigerung und die Gründe dafür zumindest erahnbar werden zu lassen. Während diese Konsequenz für den Bereich der Polizei für noch hinnehmbar gehalten wird, sollen die Geheimdienste erst gar nicht in diese Lage geraten.
Reduzierte sich das gerichtliche Prüfungsrecht bisher allein auf die Frage, ob die Behörde die Auskunft pauschal – und damit in unzulässiger Weise – abgelehnt hatte oder ob sie erkennen ließ, daß sie sich zumindest Gedanken darüber gemacht hatte (Betätigung des Ermessens), so wird für den Bereich der Geheimdienste nun auch de jure jede gerichtliche Überprüfung ausgeschlossen. Für sie gilt das Justizgewähr-leistungsrecht (Art.19 Abs.4 GG) nicht. Konsequent heißt es deshalb auch in Abs.4 Satz 2, daß Auskunftsverweigerungen der Geheimdienste generell keiner Begründung bedürfen. Als Trostpflaster kann der Bundesdatenschutzbeauftragte eingeschaltet werden (Abs.5).
Im übrigen: Die Auskunftsanfrage soll kostenlos werden.
Zu 18 Abs. 6: Pflicht zur nachträglichen Berichtigung bereits übermittelter Daten
Diese Vorschrift ist einer der wenigen Änderungsvorschläge, die nicht zu Lasten des Bürgers gehen. Sie ist aber zugleich insoweit von begrenztem Wert, als der Bürger selbst mangels eines konsequenten Auskunftsanspruchs gegenüber den „Sicherheits“-Behörden kaum eine Chance hat, ihn betreffende Daten als falsch zu identifizieren. Diese Regelung stellt eine Verantwortung der übermittelnden Stelle für ihre Datentransaktion her und verpflichtet sie, Empfänger von falschen oder mittlerweile gesperrten (z.B. bestrittenen) Daten von dieser Tatsache zu unterrichten. Der Novellierungsvorschlag beschränkt diese Pflicht auf „regelmäßige“ Datenübermittlungen, so daß Einzelfall-übermittlungen ausscheiden. Die Realisierung dieser Pflicht setzt voraus, daß die übermittelnde Behörde einzelne Übermittlungsakte und -empfänger protokol-liert hat. Dies ist bei „regelmäßigen“ Datenübermittlungen immer der Fall, nicht aber bei einzelbezogenen Übermittlungsakten, die bei den Sicherheitsbehörden dominieren.
Hier entstünden bei Ausweitung der Berichtigungspflicht auch auf diesen Bereich neue, wiederum sehr sensible Protokolldateien mit eigenem Erklärungs- und Nutzungswert. Diese Gefahr verhindert zwar die Beschränkung auf „regelmäßige“ Übermittlungen, sie legt jedoch das Risiko des Fortbestehens und Benutzens falscher Daten allein dem Bürger auf, der schließlich die Folgen solcher Falschspeicherung zu tragen hat.
Welche Bedeutung eine solche Pflicht zur nachträglichen Berichtigung bereits übermittelter Daten insbesondere im Sicherheitsbereich haben kann, ist an dem großen Umfang systematischer Doppel- oder Vielfachspeicherungen im Sicherheitsbereich ablesbar.
Zu 22: Verminderung der Kontrollbefugnisse des Bundesdatenschutzbeauftragten
Der Entwurf nimmt die Kontrollbefugnisse des Datenschutzbeauftragten in erheblicher Weise gegenüber der bislang geltenden Gesetzeslage zurück. Die ausdrückliche Festschreibung der Kompetenz des DS-Beauftragten in Abs.1, bei seinen Prüfungen auch auf außerhalb von Dateien gespeichertes Datenmaterial (Akten) zurückgreifen zu können, ist bei realistischer Sicht nicht als die propagierte Ausdehnung der Kontroll-kompetenz zu bewerten. Vielmehr ist mit dieser Regelung zugleich eine – unbenannte – Einschränkung verbunden.
Der Entw. bindet die Überprüfung von Akten an eine besonders begründete Beschwerde eines Betroffenen sowie ausdrücklich auf den „Einzelfall“. Die Begr. führt mit aller Deutlichkeit aus, daß mit dieser Beschränkung auf den Einzelfall verhindert werden soll, den DS-Beauftragten „zu einem umfassenden Kontrollorgan“ zu machen.
Bisher wurde den DS-Beauftragten in vielen Fällen mit unterschiedlicher Intensität der Zugang zu in Akten gesammeltem Datenmaterial verweigert, obwohl sich nur durch gleichzeitige Prüfung der in den Akten gesammelten Informationen die Zulässigkeit der in den elektronischen Systemen gespeicherten Daten hat überprüfen lassen. Zwar wird den Datenschützern diese Befugnis nun unbestreitbar eingeräumt. Im Gegenzug werden jedoch die Kompetenzen bestritten, systematische Kontrolle von Informationsstrukturen und Praktiken vorzunehmen. Das folgt aus der Gesetzeslogik; die gesetzliche Zulassung nur der Einzelfallkompetenz schließt jede darüberhinausgehende Kompetenz aus. Für die Fälle nur vager Verdachte unzulässiger Datenverarbeitungspraxis, ohne daß der DS-Beauftragte einen bestimmten Betroffenen nennen kann, wird er vor verschlossenen (Akten-) Türen stehen.
Wesentliche Einschränkungen gegenüber der bisherigen Gesetzeslage enthält auch Abs.2. Es werden umfänglichste Datenbereiche der öffentlichen Verwaltung von der Kontrolle dann ausgenommen, „wenn der Betroffene (der Speicherung, d. Red.) der Kontrolle durch den Bundesbeauftagten widerspricht“. Das hört sich nach besonderer Respektierung des Rechts auf informationelle Selbstbestimmung an. Tatsächlich verbirgt sich dahinter ein raffiniert gestricktes Muster, das in aller Regel zum gänzlichen Kontrollausschluß des DS-Beauftragten führen wird. In der Begr. heißt es hierzu: „Die Befugnis des Betroffenen, zu widersprechen, setzt voraus, daß er hierzu Gelegenheit hat“. Wo aber der Be-troffene nichts von seiner Speicherung weiß, und das ist im Geheimbereich die Regel, hat er auch keine Gelegenheit, zu widersprechen; folglich entfällt damit aber auch das Kontrollrecht des Datenschutzbeauftragten.
In der amtl. Begr. heißt es freilich, daß man eine solche Konsequenz nicht wolle. Anstelle aber auf das Prinzip der Vorabeinwilligung ganz zu verzichten, schlägt die Begr. (nicht der Gesetzestext selbst!) vor, daß in Vollzug des Gesetzes zukünftig „in den Hausnachrichten einer Behörde oder durch eine entsprechende Formularrubrik in den Unterlagen für die Einstellung oder für die Sicherheitsüberprüfung“ ein genereller Hinweis auf die Möglichkeit des Widerspruchs aufgenommen werden solle. Wie freilich z.B. vor einer Kontrolle der Rauschgift-Dateien des Bundesfinanzministers die Möglichkeit zum Widerspruch des einzelnen Betroffenen erfolgen kann, bleibt offen. Der einzige Zweck dieser Widerspruchsmöglichkeit scheint zu sein, den betroffenen Behörden erweiterte Möglichkeiten zur Verweigerung datenschutzrechtlicher Kontrolle einzuräumen.
Schließlich verrechtlicht der Entw. zugunsten der Exekutive bisherige Streitfragen um die Kontrollkompetenz der DS-Beauftragten.
Nunmehr ausdrücklich ausgeschlossen wird der DS-Beauftragte von der Kontrolle folgender Datenbereiche:
* Daten, die durch G-10-Abhörmaßnahmen der Geheimdienste gewonnen worden sind. Dies entspricht der Praxis der G-10-Kommission des Bundestages, die dem Datenschutzbeauftragten auch bisher schon die Kontrolle dieser Daten verweigerte.
* Dies gilt gleichermaßen für Steuerdaten. Als Steuerdaten werden auch Daten im Kontext der Rauschgiftfahndnung qualifiziert, da Drogenhandel u.a. den Tatbestand der Steuerhinterziehung erfüllt. Auch hier hatte der Bundesfinanzminister dem DS-Beauftragtem schon bisher contra legem den Kontrollzugang verwehrt.
* Schließlich werden als besonders umfängliche Bereiche die sogennannten Per-sonalakten und jene Akten ausdrücklich ausgeschlossen, die bei Si-cherheitsüberprüfungen angelegt worden sind.
Auch hier hatten die Bundesbehörden bisher schon den Zugang zum Teil mit Erfolg verweigert.
Zu 24: Aufgaben des Bundesdatenschutzbeauftragten
Hervorzuheben ist vor allem Abs.1, also die Änderung des Berichtszeitraumes. Die jährlichen Vorstellungen der Tätigkeitsberichte haben mittlerweile in den Medien einen festen Platz errungen. Die dadurch insbesondere den Sicherheitsbehörden regelmäßig zuteil gewordene Aufmerksamkeit war diesen von Anfang an unbequem und abschaffenswert. Rheinland-Pfalz führte 1983 den Zwei-Jahres-Berichtsrhythmus ein, Bayern folgte. Konsequenz: die Informationsfülle der Tätigkeitsberichte halbiert sich, was vor allem auf Kosten der (sonst nirgendwo anders gegebenen) Detailfülle für die Praxis und Probleme sicherheitsbehördlicher Datenverarbeitung geht. Die zukünftige zweijährliche Erscheinungsweise dient ganz eindeutig der Verminderung der öffentlichen Wirkung der Datenschutzkontrollinstanzen.
Jüngst wurde bekannt (FR v. 28.1.89), daß auch die Unionsparteien dem zuvor von der SPD und den Grünen gemachtem Vorschlag folgen wollen, den DS-Beauftragten nicht mehr vom Bundesinnenminister ernennen, sondern vom Bundestag wählen zu lassen: ein untauglicher Versuch, einer Institution Wir-kung verschaffen zu wollen, der ihr in ihren Kontrollbefugnissen versagt wird.
3. Resümee:
Die hier kurz beschriebenen, aber wesentlichen Änderungsvorschläge des Entw. für die Datenverarbeitung im Sicherheitsbereich lassen sich auf einen ebenfalls kurzen Nenner bringen: Die Befugnisse zur Verarbeitung von Daten sind erheblich erweitert worden, ebenso die Befugnisse zur Weitergabe. Demgegenüber wurden die Kontrollbefugnisse des Bundesdatenschutzbeauftragten an einigen Stellen unwesentlich erweitert, überwiegend jedoch enger gefaßt.
Die Auskunftsrechte sind noch weiter eingeschränkt worden – obwohl sie bisher schon nahezu bedeutungslos waren. Auf der konzeptionellen Seite ist darauf verzichtet worden, die Mängel einer rein individualrechtlichen Konzeption des Datenschutzes zu beseitigen, indem strukturelle Datenschutzvorschriften aufgenommen werden. Aber nur dadurch ließe sich die gegenwärtig bereits vollzogene und noch zu erwartende Vernetzung der öffentlichen Verwaltung durch übergreifende Verbundsysteme rechtlicher Steuerung überhaupt zugänglich machen.
Der Novellierung des BDSG kommt im Hinblick auf die Datenschutzge-setze der Länder Leitfunktion zu. Deren Anpassung an den Entw. des BDSG beschäftigt bereits die Ministerien der Länder.