durchgeführten Dopingkontrollen bei internationalen Leistungs-sportlerinnen und -sportlern zu verwirklichen. Während innerhalb von Deutschland insofern teilweise von den Verantwortlichen Ver-ständnis gezeigt wird, scheinen die internationalen Strukturen der-art verkrustet, dass nur eine langatmige Strategie sichtbare Verän-derungen verspricht.

Frustrierend waren bisher die Versuche, den Einsatz von Funk-chips in EC- und Kreditkarten datenschutzkonform zu gestalten. Es werden bundesweit Karten ausgegeben, die problematisch und damit nicht im Ansatz zukunftssicher sind, weil sie mit einfachen Mitteln ausgelesen werden können und keinen ausreichenden Schutz gegen Missbrauch bieten.

Es zeigt sich in vielen Bereichen, dass die technische Entwicklung und die damit verbundenen Möglichkeiten zur Überwachung oft dazu führen, dass ohne Einsicht in die Gefahren für das Persönlich-keitsrecht und teilweise unter bewusster Inkaufnahme dieser neu-en Risiken informationstechnische Verfahren eingeführt und ge-nutzt werden. Das gilt bis hinein in den privaten Bereich für die Nutzung der Videoüberwachung, für das immer exzessiver genutz-te Internet-Tracking, das rasant sich ausbreitende Internet-Fernse-hen (IPTV) oder für das schon weltweit etablierte, aber bisher nicht ansatzweise datenschutzkonforme Cloud Computing bei Nutzung fremder Datenverarbeitungsressourcen.

Gesetzgebung Schleswig-Holstein

Die Modernisierung des Rechts des Datenschutzes und der Infor-mationsfreiheit hat in Schleswig-Holstein große Fortschritte ge-macht. Seit Anfang 2012 ist Land ein modernes Datenschutzrecht in Kraft. Bundesweit einzigartig und richtungweisend ist die Zusam-menführung des Informationsfreiheitsgesetzes (IFG) und des Um-weltinformationsgesetzes (UIG) des Landes zu einem Informations-zugangsgesetz. Das ULD begrüßt es, dass aus der Landespolitik Sig-nale kommen, sich dem insofern fortschrittlichsten Transparenzge-setz unseres südlichen Nachbarn Hamburg anschließen zu wollen.

Gesetzgebung im Bund und in Europa

Das ULD ist eng eingebunden in die nationalen und europäischen Diskussionen zur Modernisierung des Datenschutzrechts. Anders als auf Landes- und auf europäischer Ebene herrschen beim Bund Untätigkeit und Blockaden vor. Dies gilt für die überfällige natio-nale Internetgesetzgebung, für den Beschäftigtendatenschutz und für das dilettantische Vorgehen bei der Einrichtung einer Stiftung Datenschutz.

Optimistisch stimmen können Datenschützer dagegen die Be-strebungen für einen neuen EU-Rechtsrahmen zu Datenschutz. Zwar bleiben die bisherigen Vorschläge für eine Richtlinie zum Datenschutz in den Bereichen Sicherheit und Justiz hinter den Möglichkeiten und Notwendigkeiten zurück; die Vorschläge der EU-Kommission sowie die Änderungsvorschläge des Berichterstat-ters des Europäischen Parlaments für eine Datenschutz-Grundver-ordnung gehen aber in die richtige Richtung und lassen hoffen, dass zeitnah ein europaweit einheitlicher hoher Datenschutzstan-dard in Wirtschaft und Verwaltung festgelegt wird. Erfreulich ist, dass diese Bestrebungen selbst von Teilen der Wirtschaft unter-stützt werden. Bedauerlich ist dagegen, dass die Bundesregierung sich eher als Bremser betätigt und teilweise in dasselbe Horn stößt, mit dem die US-Wirtschafts-Lobby den Verordnungsvorschlag der EU zu Fall bringen möchte. Das Ziel dieser Lobby ist es, die bisheri-ge praktische Privilegierung von deren datenschutzwidrigen Ge-schäftsmodellen insbesondere von Internet-Unternehmen auf

dem europäischen Markt zu verteidigen. In diesem Zusammen-hang sind auch die Aktivitäten des ULD zu US-Unternehmen wie Google und Facebook zu sehen, die als Nebeneffekt neben der Ver-wirklichung eines besseren Datenschutzes im Internet auf die Her-stellung gleicher Marktbedingungen für europäische Unterneh-men abzielen.

Der Tätigkeitsbericht ist im Internet abrufbar unter: www.daten-schutzzentrum.de/material/tb/tb34/

LfDI Bremen: 35. Jahresbericht Datenschutz 2012, 7. Jahresbericht Informationsfreiheit 2012

Am 8.03.2013 hat die Bremer Landesbeauftragte für Datenschutz und Informationsfreiheit, Dr. Imke Sommer ihre beiden Jahresbe-richte über den Datenschutz und die Informationsfreiheit in Bre-men vorgelegt.

Im Datenschutzbericht wird auf den Regelungsentwurf der EU-Kommission eingegangen, mit dem einerseits der Datenschutz europaweit einheitlich geregelt werden soll. Das zweite Ziel der „Datenschutzgrundverordnung“ ist es, den freien Verkehr der Daten in Europa zu erleichtern. Auch angesichts der massiven Lob-byarbeit der Daten verarbeitenden Unternehmen in Europa und den USA haben wir Datenschützerinnen und Datenschützer Sor-ge, dass am Ende der freie Datenverkehr gewinnt. Wir fordern des-halb, dass hohe Mindeststandards für das Datenschutzgrundrecht der Menschen in Europa formuliert werden, über die die Mitglied-staaten noch hinausgehen können.

Das zeige sich zum Beispiel auch bei der Anonymiserung, über die in Europa gestritten werde. Die Verpflichtung zur wirksamen Anonymisierung sei in Zeiten von „big data“ extrem wichtig. In den überall entstehenden riesigen Datenbergen („big data“), fän-den sich unzählige personenbezogene Informationen. Nur wenn es gelänge, den Bezug auf die persönlichen Verbindungen, Vorlie-ben und Verhaltensweisen der Menschen unmöglich zu machen, dürften die Datenbergleute („Dataminer“) diese Daten nutzen, um sie für ihre Zwecke ans Tageslicht zu bringen. Um Anonymisierung ging es auch in einem Fall in Bremen: Nachdem es datenschutz-rechtliche Probleme bei der Weitergabe von Rezeptdaten gegeben hatte, habe das norddeutsche Apothekenrechenzentrum (NARZ) nun ein Verfahren entwickelt, das Rezeptdaten erfolgreich anony-misiere. Die aus Rezepten hervorgehenden Informationen über Patientinnen und Patienten, Ärztinnen und Ärzte und Apotheken würden nun gelöscht und könnten deshalb nicht mehr zurückver-folgt werden.

Informationsfreiheit: Ausweitung der Veröffentlichungspflich-ten für amtliche Informationen! Dieses Motto ist auch auf den Be-reich der Informationsfreiheit übertragbar: Der 7. Jahresbericht befasst sich auch mit der Frage, wie die Schwesterstädte Bremen und Hamburg beim Zugang zu Informationen öffentlicher Stellen voneinander lernen könnten. Die Landesbeauftragte für Informa-tionsfreiheit hierzu: „Dass Hamburg die bremische Idee der star-ken Veröffentlichungspflichten für Behörden aufgreift und in ei-nigen Fällen sogar noch erweitert, kann aus Sicht der bremischen Informationsfreiheitsfreundinnen und Informationsfreiheitsfreun-de nur begrüßt werden! Im hanseatischen Wettbewerb um Verwal-tungstransparenz sollte Bremen nun im nächsten Schritt die Veröf-fentlichung einer noch größeren Zahl von öffentlichen Informatio-

400 DuD • Datenschutz und Datensicherheit 6 | 2013

DUD REPORT

nen zur Pflicht machen. Wo Hamburg aus unserer Sicht seinerseits nachlegen könnte, kann in unserem Bericht zur Informationsfrei-heit im Land Bremen nachgelesen werden.“

Der Jahresbericht zum Datenschutz steht hier zur Verfügung: http://www.datenschutz.bremen.de/sixcms/media.php/13/35.%20Jahresbericht%20Datenschutz.pdf

LfD Hessen 41. Tätigkeitsbericht 2012

Wie in jedem Jahr zeigt der am 16.04.2013 vorgelegte Bericht, dass die Tätigkeitsfelder des Datenschutzbeauftragten äußerst vielfäl-tig sind.

Besondere Aufmerksamkeit ist dieses Mal der Rechtsentwick-lung des Datenschutzes in der Europäischen Union gewidmet, die erhebliche Auswirkungen auf das Datenschutzniveau in Deutsch-land haben kann.

Der 41. Tätigkeitsbericht ist zudem der zweite Tätigkeitsbericht des Hessischen Datenschutzbeauftragten, der auch über die Kon-trolle im privaten Bereich berichtet. Nachdem der personelle Aus-bau der Behörde inzwischen fast abgeschlossen ist, kann der Hes-sische Datenschutzbeauftragte auch verstärkt die nicht-öffentli-chen Stellen prüfen und beraten, was sich auch im Tätigkeitsbe-richt widerspiegelt.

Europäisierung des Datenschutzrechts

Der automatisierte Datenverkehr erfolgt zunehmend global. Des-halb ist auch nach Auffassung des Hessischen Datenschutzbeauf-tragten eine Modernisierung des Datenschutzrechts in der Euro-päischen Union geboten. Allerdings ist die von der Kommission vorgelegte und jetzt in der parlamentarischen Debatte befindli-che Datenschutzgrundverordnung ein Regelwerk, das nach An-sicht von Prof. Michael Ronellenfitsch die europäischen Kompe-tenzgrenzen überschreitet. Die Schaffung eines gemeinsamen Datenschutzmindeststandards rechtfertige es nicht, einzelnen Mit-gliedstaaten zumindest im öffentlichen Bereich ein höheres Daten-schutzniveau zu versagen. Durch die Entscheidung, den Daten-schutz in einer Verordnung zu regeln, geschehe dies aber.

Völlig inakzeptabel seien die Vorschläge zur künftigen Struktur der Datenschutzaufsicht unter der letztinstanzlichen Oberaufsicht der Kommission. Das ist unter Berücksichtigung der vom EuGH pos-tulierten Forderung nach unabhängiger Datenschutzkontrolle in den Ländern nicht tolerierbar.

Dauerbrenner: Anforderung von Personalausweiskopien

Von den verschiedensten Institutionen wird zu ldentifizierungs-zwecken gern reflexartig die Vorlage einer Personalausweiskopie gefordert, die dann auf unbestimmte Zeit in den. Unterlagen von Unternehmen wie Banken, Versicherungen, Hotels, Mietwagenfir-men, der SCHUFA, aber auch. Behörden landen. Nur in den wenigs-ten Fällen ist aber die Vorlage einer Personalausweiskopie rechtlich zulässig bzw. erforderlich, betont der Hessische Datenschutzbeauf-tragte. So lasse das Geldwäschegesetz die Fertigung von Kopien durch Banken und Versicherungen, soweit es um Lebens- und Un-fallversicherungen gehe, ausdrücklich zu. In anderen Lebensberei-chen reiche es hingegen aus, wenn der Ausweis zur Identifizierung vorgelegt und dies entsprechend vermerkt werde. Möglich müsse auch die Vorlage einer Kopie sein, auf der Teile der Daten wie etwa die maschinenlesbare Zone oder Größe und Augenfarbe des Inha-bers geschwärzt seien.

Telefondatenüberwachung von Personal- bzw. Betriebsrats-

mitgliedern

Die ungestörte Ausübung der Personalrats- oder Betriebsratstätig-keit schließt eine umfassende Kontrolle des Kommunikationsver-haltens der Mitglieder von Mitarbeitervertretungen aus. Stellt der Arbeitgeber ein dienstliches Mobiltelefon zur Verfügung, das so-wohl dienstlich / betrieblich als auch für Gespräche des Personal- oder Betriebsrats in dieser Funktion genutzt wird, empfiehlt der Hessische Datenschutzbeauftragte die Nutzung von Mobiltelefo-nen mit zwei SIM-Karten oder die getrennte Abrechnung, die von einigen Telefondienstleistern angeboten wird. Die übliche Erstel-lung von Einzelverbindungsnachweisen ist für Telefonate der Mit-glieder von Interessenvertretungen unzulässig.

Nutzung sozialer Netzwerke durch Behörden

Soziale Netzwerke sind für viele Menschen die primäre Informa-tionsquelle. Auch öffentliche Stellen wollen diese Netzwerke nut-zen, weil sie fürchten, sonst bestimmte Bevölkerungsgruppen nicht mehr zu erreichen. Dieser Erkenntnis verschließt sich auch der Hes-sische Datenschutzbeauftragte nicht. Er zeigt deshalb in seinem Tä-tigkeitsbericht eine Möglichkeit auf, wie öffentliche Stellen durch die Einrichtung einer Fanpage Bürger erreichen können, ohne gegen Datenschutzprinzipien zu verstoßen. Alternativlose Inter-aktionen mit dem Bürger über soziale Netzwerke hält Prof. Ronel-lenfitsch jedoch für unzulässig.

Gegen die Nutzung sozialer Netzwerke durch die Polizei für Fahndungszwecke hat er unter strengen Voraussetzungen keine Bedenken. So darf z. B. Facebook für einen Fahndungsaufruf ge-nutzt werden, etwaige Zeugenangaben erfolgen dann aber über Internetseiten der Polizei und nicht mehr im sozialen Netzwerk, so dass die Problematik der Kenntnisnahme durch unbefugte Dritte ausgeschlossen wird.

Videoüberwachung im privaten Bereich

Die Anzahl der installierten Videokameras im privaten Bereich steigt stetig und mit ihr die Anzahl der Beschwerden beim Hessi-schen Datenschutzbeauftragten. Nach Auffassung des Hessischen Datenschutzbeauftragten ist grundsätzlich dann von einer Über-wachung abzusehen, wenn deren Zweck auch mit milderen Mitteln erreicht werden kann. Außerdem gibt es Bereiche, die einer Über-wachung gar nicht zugänglich sind, wie etwa Tische und Sitzgele-genheiten in Gaststätten, Umkleiden in Kaufhäusern oder Aufent-haltsräume von Bediensteten. In vielen Fällen hat der Hessische Datenschutzbeauftragte einen Abbau der Videokameras gefor-dert, manchmal half eine Neuausrichtung von Kameraeinstellun-gen, um einen datenschutzkonformen Zustand herzustellen. Ob-ligatorisch ist eine Kennzeichnung der Überwachung.

Auskunfteien

Auch im Bereich der Auskunfteien ist die Zahl der Anfragen beim Hessischen Datenschutzbeauftragten sehr hoch. Das erklärt sich dadurch, dass die SCHUFA Holding AG, einige Creditreform KGs und weitere Auskunfteien ihren Sitz in Hessen haben. Im Geschäfts-leben eines Verbrauchers kommt es zu einer Vielzahl von Daten-übermittlungen und Datenanfragen an bzw. bei Auskunfteien. Ob Kleinkredit, Handyvertrag oder Bestellung beim Versandhandel, häufig werden die Daten in den persönlichen Datenbestand bei den Auskunfteien eingepflegt bzw. an anfragende Dritte übermit-telt. Das ist für die Betroffenen solange kein Problem, solange es sich nicht um Negativdaten handelt, also Daten, die dem Verbrau-

DuD • Datenschutz und Datensicherheit 6 | 2013 401

DUD REPORT