Allgemein

Veranlasste Kontrollen – Wir fühlen den Dingen auf den Grund

Eine der praktisch wichtigsten Aufgaben des Sächsischen Datenschutzbeauftragten ist die Durchführung sog. „veranlasster“ Kontrollen in den öffentlichen Stellen des Freistaates Sachsen – z. B. den Kommunen, den Universitäten, der Polizei. Rechtsgrundlage ist § 27 Abs. 1 SächsDSG, wonach der Sächsische Datenschutzbeauftragte bei den öffentlichen Stellen die Einhaltung des Sächsischen Datenschutzgesetzes und anderer Vorschriften über den Datenschutz kontrolliert (Beschränkungen ergeben sich hinsichtlich Sicherheits- und Sicherheitsüberprüfungsakten, der nachrichtendienstlichen Überwachung des Brief-, Post- und Fernmeldeverkehrs sowie der Tätigkeit der Rechtsprechung, § 27 Abs. 2 bis 4 SächsDSG). Der Sächsische Datenschutzbeauftragte wird zum einen aufgrund von Hinweisen Betroffener tätig, zum anderen kann dies aber auch geschehen, wenn Bedienstete einer öffentlichen Stelle Hinweise geben. Hierfür benötigt der Bedienstete keine Aussagegenehmigung. Ob der Bedienstete, wenn er sich als Hinweisgeber - nicht als selbst Betroffener - an den Sächsischen Datenschutzbeauftragten wenden will, hierbei den Dienstweg einzuhalten bzw. den Amtsleiter informiert hat, hat der Sächsische Datenschutzbeauftragte nicht zu betrachten, vgl. 12. Tätigkeitsbericht, 1.6 (S. 40 f.) Der Sächsische Datenschutzbeauftragte nimmt auch Hinweise der behördlichen Datenschutzbeauftragten (im Sinne von § 11 SächsDSG) entgegen. Diese sind weisungsfrei und auch gegenüber dem Amtschef zur Verschwiegenheit berechtigt. Sie können jederzeit beim Sächsischen Datenschutzbeauftragten Rat suchen, vgl. 13. Tätigkeitsbericht, 1.5 (S. 40).

Ob und in welcher Form der bekannt gewordene Sachverhalt in datenschutzrechtlicher Hinsicht kontrolliert wird, steht grundsätzlich im Ermessen des Sächsischen Datenschutzbeauftragten. Der verfassungsrechtliche (Art. 33 SächsVerf) wie auch der gesetzliche Auftrag (§§ 1, 24, 27 SächsDSG) verpflichtet ihn jedoch zu kontrollieren, sobald tatsächliche Anhaltspunkte für einen Verstoß gegen datenschutzrechtliche Vorschriften vorliegen. Aber auch wenn etwa eine Eingabe nicht zugleich solche tatsächlichen Anhaltspunkte enthält, bietet sie zumindest Anlass genug aufzuklären, ob möglicherweise der zugrunde liegende Sachverhalt nur ungenau oder lückenhaft geschildert worden ist. Jeder Betroffene darf sich daher darauf verlassen, dass seine Eingabe gewissenhaft geprüft wird.

Dabei beurteilt der Sächsische Datenschutzbeauftragte, ob eine Datenverarbeitung erforderlich war und auf eine gesetzliche Grundlage (das Sächsische Datenschutzgesetz oder speziellere Gesetze) gestützt werden konnte (z. B. eine Erhebung ) und keine nach Rechtsvorschriften erforderliche Datenverarbeitung unterlassen wurde (z. B. eine Benachrichtigung Betroffener). Dabei berücksichtigt er, ob die öffentliche Stelle, sofern sie als nachgeordnete Behörde oder kommunale Stelle einer Aufsicht unterliegt, fehlerhaft beraten oder angewiesen wurde, welche personenbezogenen Daten (Schutzgrad) verarbeitet wurden, in welchen Fallmengen und in welchem Umfang, Tiefe und Ausmaß personenbezogene Daten verarbeitet wurden und wie sich ein Datenschutzverstoß bei dem Betroffenen ausgewirkt hat.

Liegen tatsächliche Anhaltspunkte für einen datenschutzrechtlichen Verstoß vor, entscheidet der Sächsische Datenschutzbeauftragte abhängig von Art, Ausmaß und Bedeutung, ob er den Sachverhalt schriftlich oder an Ort und Stelle, angemeldet oder unangemeldet einer Kontrolle unterzieht. Der Sächsische Datenschutzbeauftragte kontrolliert in richtergleicher Unabhängigkeit. Er bestimmt das Ob, die Art, den Umfang und die Ausgestaltung seiner Kontrolle nach eigenem pflichtgemäßem Ermessen. Er entscheidet, ob er eine lediglich schriftliche Kontrolle durchführt oder einen Kontrollbesuch an Ort und Stelle, evtl. über mehrere Tage, vornimmt. Die kontrollierten Stellen sind verpflichtet, ihn und seine Beauftragten zu unterstützen, § 28 Abs. 1 SächsDSG. Sie müssen ihm insbesondere Auskunft geben, Einsicht in alle Unterlagen und Akten, insbesondere in die gespeicherten Daten und die Datenverarbeitungsprogramme, gewähren und jederzeit Zutritt zu den Diensträumen gewähren. Tun sie das nicht, kann der Sächsische Datenschutzbeauftragte sie alleine deswegen beanstanden oder den Bediensteten, die ihn nicht unterstützt haben, ein Bußgeld auferlegen.

Je nach dem Ergebnis seiner Kontrolle stellt er das Kontrollverfahren ein, wenn sich ein datenschutzrechtlicher Verstoß nicht ergeben hat. Anderenfalls macht er von seinen Befugnissen Gebrauch, die verantwortliche Stelle zu rügen, sie unter der Aufforderung zur Abhilfe förmlich zu beanstanden, ggf. die zuständige Aufsichtsbehörde über den Verstoß zu unterrichten bzw. dem Sächsischen Landtag Bericht zu erstatten oder die Öffentlichkeit (Presse) zu informieren. Die Beanstandung soll eine Schilderung des Sachverhalts, eine rechtliche Wertung und eine Aufforderung zur Stellungnahme und Behebung der Verstöße innerhalb einer bestimmten Frist enthalten. Sie darf erst nach Anhörung der kontrollierten öffentlichen Stelle ergehen. Sachverhalte von grundlegender Bedeutung und allgemeinem Interesse veröffentlicht er zudem in seinem im Zwei-Jahres-Rhythmus erscheinenden Tätigkeitsberichten, die unter „Tätigkeitsberichte“ auf dieser Homepage abrufbar sind. In jedem Fall werden die kontrollierte Stelle und der von der Datenverarbeitung Betroffene über das Ergebnis der „veranlassten“ Kontrolle informiert.

Das Ziel dieser Kontrollen beschränkt sich jedoch nicht darauf, Daten verarbeitende Stellen wegen einer gegebenenfalls rechtswidrigen Datenverarbeitung möglichst öffentlichkeitswirksam zu beanstanden. Vielmehr sollen das Recht auf informationelle Selbstbestimmung und die weiteren Datenschutzrechte als Bestandteil der freiheitlichen demokratischen Grundordnung gewahrt werden. Ebenso soll das „Datenschutzbewusstsein“ der Bediensteten in der öffentlichen Verwaltung möglichst gestärkt und, wo nötig, verbessert werden. Der Sächsische Datenschutzbeauftragte versteht sich daher nicht nur als Kontrollbehörde, sondern legt auch bei veranlassten Kontrollen großen Wert auf seine Beratungstätigkeit.

Als Beispiel einer veranlassten Kontrolle mag die im 11. TB 2003 unter Punkt 5.9.2 geschilderte Verarbeitung von Daten strafunmündiger Kinder durch die Polizei und die Staatsanwaltschaft dienen.

Anlassfreie Kontrollen

Der Sächsische Datenschutzbeauftragte darf ebenso anlassfreie Querschnittskontrollen bei den öffentlichen Stellen des Freistaates Sachsen durchführen. Er tut dies zur Erhöhung des Datenschutzbewusstseins, zur Beobachtung bestimmter Entwicklungen des Datenschutzes und zur allgemeinen Beratung öffentlicher Stellen. Gegenstand der Kontrolle ist wie bei den veranlassten Kontrollen die Einhaltung der jeweils zu beachtenden datenschutzrechtlichen Vorschriften. In der Regel wird er anlassfreie Querschnittskontrollen zuvor in angemessener Zeit dem Leiter der Behörde ankündigen. Stellt er einen Verstoß gegen datenschutzrechtliche Vorschriften fest, so darf er diesen wie bei einer veranlassten Kontrolle beanstanden, § 29 Abs. 1 SächsDSG. Der SDB kann die Ergebnisse auch seiner anlassfreien Kontrollen in seinem zweijährigen Tätigkeitsbericht darstellen. In besonders gravierenden Fällen kann er sich außerdem auch an den Sächsischen Landtag wenden, § 30 Abs. 2 SächsDSG.

Als Beispiel anlassfreier Kontrollen im Interesse der Betroffenen und des Rechtsstaates mögen die zuletzt im 13. TB 2007 unter Punkt 8.2 geschilderten, seit 1993 vorgenommenen Kontrollen von Justiz- und Sicherheitsbehörden dienen.

Beanstandungen

Der Sächsische Datenschutzbeauftragte kann Datenschutzverstöße sächsischer öffentlicher Stellen nach deren Anhörung beanstanden, § 29 Abs. 1 SächsDSG.

Eine Beanstandung ist die förmliche Missbilligung des rechtswidrigen Umgangs mit personenbezogenen Daten der Betroffenen. Sie richtet sich immer gegen die Datenverarbeitung einer Stelle insgesamt, nicht gegen einzelne Bedienstete oder Personen.

Soweit die kontrollierte Stelle ihrer Rechtspflicht zur Unterstützung des Sächsischen Datenschutzbeauftragten (§ 28 SächsDSG) nachgekommen ist (Auskunftsfähige Mitarbeiter; Zurverfügungstellung aller Unterlagen, Akten, Daten, Programme sowie d es Dateien- und Geräteverzeichnis ses gemäß § 10 SächsDSG), der Datenschutzverstoß eingesehen wird, keine Absicht zur Datenschutzverletzung vorgelegen hat und der Datenschutzverstoß als gering anzustufen ist, macht der Sächsische Datenschutzbeauftragte in der Praxis häufig von seinem Recht Gebrauch, von Beanstandungen ab zusehen , § 29 Abs. 2 SächsDSG.

Erfolgt dagegen eine Beanstandung, fordert der Sächsische Datenschutzbeauftragte die beanstandete Stelle zu einer Stellungnahme auf, § 29 Abs. 1 SächsDSG. Regelmäßig verlangt er auch eine Mängelbeseitigung, um zukünftigen Datenschutzverstößen vorzubeugen, § 29 Abs. 3 SächsDSG.

Soweit einzelnen Bediensteten ein individueller Vorwurf im Hinblick auf Datenschutzverletzungen zu machen ist, ein schuldhaftes Handeln oder Unterlassen vorliegt, besteht nach Maßgabe des Sächsischen Datenschutzgesetzes außerdem die Möglichkeit, ein Ordnungswidrigkeitenverfahren einzuleiten, § 38 SächsDSG. In Einzelfällen kann ein Datenschutzverstoß auch eine Straftat nach § 39 SächsDSG darstellen.

Neben der rechtswidrigen Datenverarbeitung selbst (vgl. § 38 Abs. 1 Nr. 1 SächsDSG) auch datenschutzorganisatorische Unterlassungen Ordnungswidrigkeiten, so z. B. die Nichtmeldung von Verfahrensverzeichnissen (§ 38 Abs. 1 Nr. 3a SächsDSG) oder die unterlassene Unterstützung des Sächsischen Datenschutzbeauftragten (§ 38 Abs. 1 Nr. 8a, 8b SächsDSG).

Registerführung

Öffentliche Stellen haben ein Verzeichnis der bei ihnen eingesetzten automatisierten Verarbeitungsverfahren zur erstellen. Sofern sie keinen behördlichen Datenschutzbauftragten bestellt haben, ist dieses an den Sächsischen Datenschutzbeauftragten zuzuleiten und kann bei diesem (anderenfalls direkt bei der jeweiligen Stelle) ohne Angaben von Gründen eingesehen werden.

Vorabkontrolle

Vor dem erstmaligen Einsatz eines automatisierten Verfahrens, das bestimmte besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist, wird dies im Falle der Bestellung eines behördlichen Datenschutzbeauftragten durch diesen, anderenfalls durch den Sächsischen Datenschutzbeauftragten vor Beginn der Verarbeitung geprüft.

Öffentlichkeitsarbeit

Der Sächsische Datenschutzbeauftragte unterrichtet den Sächsischen Landtag und die Öffentlichkeit (Presseerklärungen) über wesentliche Entwicklungen des Datenschutzes. Er kann sich jederzeit an den Landtag wenden und erstattet dem Landtag alle zwei Jahre einen Bericht über seine Tätigkeit. Dieser Tätigkeitsbericht wird veröffentlicht (§ 30 Abs. 1 und 2 SächsDSG). Alle bisherigen Berichte und veröffentlichte Presseerklärungen finden Sie auf dieser Homepage unter "Tätigkeitsberichte" und "Öffentlichkeitsarbeit".

Mitwirkung bei der Erstellung von Rechtsvorschriften

Der Sächsische Datenschutzbeauftragte ist zu Entwürfen von Rechtsverordnungen und Verwaltungsvorschriften zu hören, soweit diese das Recht auf informationelle Selbstbestimmung betreffen (§ 26 SächsDSG). Er kann auch zu Entwürfen von Gesetzen Stellung nehmen.

Beratungstätigkeit

Der Sächsische Datenschutzbeauftragte hat im Auftrag des Landtages oder der Staatsregierung Gutachten und besondere Berichte zu erstatten. Er kann der Staatsregierung, einzelnen Ministerien sowie andere öffentliche Stellen in Fragen des Datenschutzes beraten und Empfehlungen zur Verbesserung geben (§ 30 Abs. 3 und 4 SächsDSG).

Durchführung von Ordnungswidrigkeitsverfahren

Der Sächsische Datenschutzbeauftragte ist zuständige Verfolgungsbehörde für Ordnungswidrigkeiten nach dem Sächsischen Datenschutzgesetz (§ 38 SächsDSG).