Datenschutzbeauftragte Saarland: Auf kleiner Flamme

[IITR – 30.11.16] Monika Grethel ist seit einem halben Jahr die Landesbeauftragte für Datenschutz und Informationsfreiheit im Saarland. Bevor die parteilose Juristin 2010 zur saarländischen Datenschutzaufsicht als Referatsleiterin stieß, war sie Verwaltungsrichterin. Grethel: „Ich war das leidenschaftlich gerne und konnte mir nicht vorstellen, etwas Anderes zu machen.“

Es war also eine spontane Entscheidung, die ihren Berufswechsel einleitete und die sie „noch nicht bereut“ hat. Monika Grethel: „Datenschutz war für mich beruflich bis dahin kein Thema gewesen. Erst als ich mich mit der Materie befasst habe, ist mir die Bedeutung dieses Rechts für unsere persönliche Freiheit nach und nach bewusst geworden. Die Vorratsdatenspeicherung war ein großes Thema, als ich hier anfing. Eine solche Überwachung macht nicht viel aus, weil ich nach dem immer wieder zu hörenden Motto vieler Menschen dachte: „Ich habe nichts zu verbergen“. Aber das hat sich geändert. An einem Ereignis oder eine Person kann Grethel diese Bewusstseinsänderung nicht festmachen. Wie vielleicht bei sehr vielen Menschen, war es bei ihr zunächst nur ein Gefühl, das sie störte und das sie deshalb sehr genau wahrnahm.

„Nur so ein Gefühl“…

Als Monika Grethel für einen Urlaub in die USA reiste, musste sie durch eine Passkontrolle. Die Art und Weise, wie die US-Grenzbeamten sie und ihren Pass musterten, lösten bei ihr den Impuls aus, ihrem Mann eine SMS nach Hause zu schicken – einen Kommentar in dem Sinne „Die spinnen, die Amerikaner.“ Aber sie hat die SMS nie geschrieben. Und in dem Moment, in dem Grethel entschied, die SMS nicht zu schreiben, „wurde mir bewusst, wie man sich einschränkt, sobald man merkt, dass alles, war man schreibt, irgendwo registriert werden kann. Obwohl man glaubt, dass die Sicherheitsbehörden sorgfältig damit umgehen, geht doch die Unbefangenheit verloren. Man beginnt sein Verhalten so einzustellen, dass man möglichst wenig angreifbar wird.“ Dieses Gefühl der Befangenheit, „dieser Gedanke, dass mir eine solche SMS negativ ausgelegt werden könnte, dieser Gedanke hat mich gestört,“ sagt Grethel heute.

Es war zunächst nur eine kleine Selbstbeobachtung, die aber nach und nach durch weitere Erlebnisse ergänzt wurde und zu dem Bewusstsein beitrug, dass das Recht auf informationelle Selbstbestimmung enorme Bedeutung hat. Monika Grethel ist überzeugt, dass es wichtig ist, „dieses Bewusstsein nach außen zu tragen. Ich höre immer wieder von Juristen-Kollegen, die sich durchaus mit der Thematik auseinandersetzen, dass alles nicht so schlimm sei. Für viele sind die Gefahren immer noch viel zu abstrakt, während viele mit der Datenverarbeitung verbundenen Vorteile und Erleichterungen gerne in Anspruch genommen werden“.

Grethel beschwört damit anders wie viele ihrer Kollegen keine großen Gefahrenszenarien. Ihr genügt im Grunde als Motivation dieses unschöne, nagende Gefühl, das bereits die Richter des Bundesverfassungsgerichts in ihrem Urteil zur Volkszählung 1983 ansprachen. Die Richter verlangten keine Fakten darüber, wie Daten missbraucht werden können. Ihnen genügte das Gefühl der Unsicherheit, das durch mangelnde Transparenz und Intervenierbarkeit entsteht. Sie schrieben damals: „Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. […] Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl. Weil die Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist.“

Datenschutz läuft im Saarland auf kleiner Flamme

Ein nagendes Gefühl des Ungenügens löst bei Grethel auch die chronisch sparsame Ausstattung ihrer Behörde aus. Das „Unabhängige Datenschutzzentrum Saarland“ ist seit Jahren hinsichtlich Budget und Personalausstattung die kleinste Datenschutzbehörde in Deutschland. Seit 2011, dem Jahr ihrer Unabhängigkeitswerdung verfügt sie über 13 Stellen, zuvor waren es jahrelang 10. Für die datenschutzrechtlichen Bewertungen sind einschließlich der Behördenleiterin vier Juristen und fünf Verwaltungsmitarbeiter, darunter ein Informatiker, zuständig. Für Sekretariat und Registratur sind zwei Mitarbeiter zuständig. Von den beiden Mitarbeitern im Referat Technik ist einer der Mitarbeiter zu einem großen Teil für die interne IT zuständig.

Für die Übergangszeit zur europäischen Datenschutzgrundverordnung sind im Moment keine weiteren Stellen vorgesehen. Grethel hofft, dass sie zumindest „eine Abordnung“ aus anderen Behörden wie den Schulen, Staatsanwaltschaften oder der Polizei erhält. Aber auch dafür stehen die Chancen nicht gut, da im Allgemeinen das Personal in allen Ressorts abgebaut werden soll.

„Wir müssen uns aus der Fülle der gesetzlichen Aufgaben zwangsläufig von allem etwas aussuchen, aber wir können bei weitem nicht alles ausfüllen“, sagt Grethel. „Wir können alle Eingaben bearbeiten, wir machen ab und zu eine anlasslose Prüfung und auch etwas Beratung“. Aus Rheinland-Pfalz hat das Saarland das Konzept für die Schul-Workshops übernommen, wobei im Saarland keine behördeneigenen Mitarbeiter die Schulungen durchführen, sondern Studenten als externe Referenten.

Größere strategische Kontrollen sind ausgeschlossen, auch gibt es mangels Personal keine Möglichkeit, ähnlich wie Bayern bundesweite Kontrolle zu konzeptionieren oder sich auch nur anzuschließen, was Grethel sehr bedauert. Unternehmenskontrollen finden ausschließlich anlassbezogen statt. Die letzte große Querschnittsprüfung fand 2012 in einer Justizvollzugsanstalt (JVA) statt. Das heißt, dass alle datenschutzrechtlich relevanten Abläufe innerhalb der JVA kontrolliert wurden. Ansonsten werden bei Behörden und Unternehmen nur anlassbezogene Kontrollen durchgeführt, und das in geringem Umfang.

Immer wieder gibt es auch Erfolge: Aktuell wurden nach einer Bürgerbeschwerde die Websites aller öffentlichen Stellen auf TLS-Verschlüsselung hin überprüft und angeschrieben – mit Erfolg: „Fast alle haben kurzfristig positiv reagiert: Sie hatten es entweder schon umgesetzt oder die Umstellung auf TLS bis Jahresende versprochen. Niemand scherte aus.“

Interessanterweise war das Saarland die erste Datenschutzbehörde, welche die vom Bundesverfassungsgericht verlangte zweijährliche Prüfung der Antiterrordatei durchführte. Grethel kann sich „vorstellen, dass solche Prüfzyklen auch für andere Dateien und sensible Daten vom Gesetzgeber künftig vorgesehen werden.“ Für das Ausländerzentralregister etwa wird bereits gesetzlich eine „regelmäßige“ Kontrolle seitens des Bundes und der Länder verlangt.

Eine Statistik über die Entwicklung der Zahl der Bürgerbeschwerden sowie der Bußgeldbescheide gibt es noch nicht. Die Bußgelder können durchaus staatliche Summen annehmen. Zuletzt verhängte Grethel ein 20.000 Euro hohes Bußgeld gegen einen Franchise-Unternehmer, der seine Franchise-Nehmer verpflichtet hatte, ihren kompletten Kundendatenstamm über eine Datenbank an die Zentrale zu übermitteln. Das Unternehmen hat das Bußgeld akzeptiert und will jetzt ein neues Datenschutzkonzept entwickeln.

Perspektiven

Grethel erwartet, dass sich mit der Umsetzung der europäischen Datenschutzgrundverordnung an der Lage etwas ändert. Sie strebt bei den Zertifizierungen und der Datenschutzfolgeabschätzung eine Zusammenarbeit mit der Universität an. „Wir könnten unsere Kleinheit über kurze Wege und Vernetzung im Saarland etwas kompensieren.“ Grethel schränkt ein: „Große Projekte aber können wir nicht initiieren.“ Forschungsprojekte ähnlich wie in Schleswig-Holstein sind derzeit ausgeschlossen, da das Personal fehlt, um sie überhaupt anzuleiern. Voraussetzung wäre also eine Verstärkung des Personals im IT-Bereich. Mit der Rechtsinformatik bestehen bereits erste Kontakte. So ist eine Vorlesung für nächstes Jahr angedacht, um Referendare an das Thema Datenschutz heranzuführen.

Autorin:
Christiane Schulzki-Haddouti

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.