[IITR – 23.2.17] Helga Block ist seit Oktober 2015 im Amt als Landesdatenschutzbeauftragte in Nordrhein-Westfalen. Die Verwaltungsjuristin war zuvor im nordrhein-westfälischen Innenministerium seit 2001 als Abteilungsleiterin unter anderem zuständig für die Themen Verfassung, Wahlen, Datenschutz, Informationsfreiheitsrecht sowie Ausländerangelegenheiten und Staatsangehörigkeitsrecht. Als der Landtag sie in das Amt der Datenschutzbeauftragten wählte, um Behörden und Unternehmen zu beaufsichtigen musste sie – aus der Perspektive der Gewaltenteilung – die Rolle wechseln: Wo sie zuvor im Innenministerium die Grenzen des Datenschutzrechts im Sinne der Landesbehörden auslotete, muss sie nun als Datenschutzbeauftragte diese Grenzen im Sinne der Grundrechte der Bürger wahren.
Vorgeschlagen wurde Helga Block als Nachfolgerin von Ulrich Lepper von der Landesregierung. Der Landtag hatte mit ihrer Kandidatur kein Problem, bis auf eine Gegenstimme der Piraten konnte sie alle Stimmen hinter sich versammeln. Die Gegenstimme galt aber nicht ihrer Person, sondern der Tatsache, dass der Landtag in NRW mangels eines Vorschlagsrechts nicht selbst die Kandidaten in einem offenen Verfahren aussuchen kann.
Die hohe Zustimmung für sie liegt wohl an der Art, wie sie an neue Aufgaben herangeht. Als sie im Februar 2016 erstmals im Landtag den Tätigkeitsbericht vorstellte, der noch von ihrem Vorgänger Ulrich Lepper verfasst worden war, bereitete sie sich im Vorfeld sehr genau vor: „Ich gehe ungern unkontrolliert in etwas hinein,“ sagt sie. So ließ sie sich zur Vorbereitung Unterlagen kommen und setzte sich mit ihren neuen Kollegen zu verschiedenen Fragenkomplexen zusammen, bevor sie sich selbst positionierte.
Die nordrhein-westfälische Landesdatenschutzbeauftragte Helga Block legt hohen Wert auf Integrität und sieht sich gleichzeitig als pragmatische Teamplayerin.„Ich fühlte mich gut, weil es eine faire und offene Debatte war“, resümiert sie ihren Auftritt vor dem Landtag. „Ich habe dargestellt, was mein Vorgänger zu Papier gebracht hat. Dabei musste ich auch an der einen oder anderen Stelle passen, wenn er sich zu etwas nicht geäußert hat. Aber ich konnte mich mit seinen Positionen identifizieren. Im Grunde gab es keine Konfliktsituation zwischen meiner alten und neuen Rolle“. Wirklich neu, das betont sie, sei nur, dass sie nun auch für den Datenschutz im nichtöffentlichen Bereich zuständig sei.
Zurückhaltend vorsichtig – mit Präzision
Zu Helga Blocks persönlichen Vorbildern gehören einige Vorgesetzte in ihrem Berufsleben, deren „hohe fachliche Kompetenz“ sie beeindruckte und „die auch mit ihren Mitarbeitern respektvoll umgegangen sind“. Namen will sie nicht nennen, aber sie deutet an, dass sie auch die Personen beeindruckend fand, „die sich ungeachtet des Mainstreams oder ihrer eigenen Partei engagiert für das Thema Datenschutz eingesetzt und sich dafür auch mittels Verfassungsbeschwerden engagiert“ haben.
Block sieht sich als Pragmatikerin, der ausgehandelte Lösungen näherliegen als die schriftliche Auseinandersetzung. Als Beispiel ist ihr Umgang mit der gescheiterten transatlantischen Datenschutzvereinbarung Safe Harbor und ihrer Nachfolgelösung, dem EU-US-Privacy Shield, zu nennen: Auf der Website der Behörde veröffentlichte sie einen umfangreichen Frage-Antwort-Katalog zum Privacy Shield als Interpretationshilfe. Eine Beurteilung der Nachfolgevereinbarung der EU-Kommission mit den USA über den transatlantischen Datenverkehr will sie aber nur gemeinsam mit den anderen Aufsichtsbehörden vornehmen: „Ich teile die Position der bayerischen Aufsichtsbehörde, dass man erst einmal damit arbeitet, was man jetzt hat. Man muss also im Einzelfall beurteilen, wie die Umsetzung konkret gehandhabt wird.“
Blocks Arbeitsstil erinnert ein wenig an die Bundesdatenschutzbeauftragte Andrea Voßhoff, die in ihrer Anfangszeit extrem vorsichtig agierte und eigene Positionierungen vermied. Gleichwohl ist im Gespräch auch zu merken, dass sie wie Voßhoff auf die Präzision und Korrektheit ihrer Aussagen höchsten Wert legt. Die sich hierdurch ausdrückende Integrität prädestinierte sie früher eben auch für ihre Rolle als Landeswahlleiterin von 2001 bis 2015.
Block erläutert, warum sie „einige Fragen zu den Auswirkungen der EU-Datenschutzreform zurückhaltend und unter Vorbehalt beantworten“ musste. So seien zur verbindlichen und einheitlichen Auslegung der DS-GVO der Europäische Datenschutzausschuss und die Gerichte berufen. Deren Auslegung liege aber noch nicht vor: „Das ist natürlich besonders misslich für Unternehmen, die sich schon jetzt auf die Anforderungen der Datenschutz-Grundverordnung einzustellen versuchen“, bedauert Block. Sie macht darauf aufmerksam, dass sie auf der Amtswebseite einschlägige Hinweise zur Verfügung stellt. Ihr Haus ist auch an einer von Thomas Kranig (Präsident des Bayerischen Landesamtes für Datenschutzaufsicht) initiierten Arbeitsgruppe beteiligt, die sich mit der zukünftigen Gestaltung der Tätigkeitsberichte unter der Geltung der Grundverordnung befassen soll. „Ich war schon immer ein Teamplayer“, betont sie, „und finde es gut, wenn man sich gemeinsam austauscht.“
Videoüberwachung nimmt deutlich zu
Ein eigenes Profil mit bestimmten Schwerpunkten hat sich Helga Block bislang nicht erarbeiten können. „Das erste Jahr war mein Lehrjahr“, sagt sie. „Viele Aufgaben und Themen sind auf uns eingestürzt: Die Frage der Videoüberwachung im öffentlichen Bereich sowie des Einsatzes von Bodycams bei der Polizei. Wir müssen aufpassen, dass in diesen Zeiten der Sorge die Freiheitsrechte der Bürger nicht ins Hintertreffen kommen. Wir können aber nur als Berater und Mahner bei den Gesetzesentwürfen wirken.“ Im öffentlichen Diskurs hinsichtlich dieser Entwürfe ist Block bisher sehr zurückhaltend aufgetreten, sie agiert wie Voßhoff vornehmlich direkt mit dem Gesetzgeber.
Block weist darauf hin, dass die Videoüberwachung zunehmend das Behördengeschäft beherrscht: So betrugen die Bürgereingaben zur Videoüberwachung durch private Stellen 9 Prozent im Schnitt der letzten sieben Jahre. Tendenz steigend: Während sie 2010 nur 3 Prozent aller Eingaben ausmachten, waren es 2016 bereits 15 Prozent. Von einer ähnlichen Tendenz berichten viele Aufsichtsbehörden, ohne die Entwicklung zahlenmäßig bislang erfasst zu haben. Mitunter wird auch die Sorge geäußert, dass die derzeit diskutierte Meldepflicht für Videoüberwachungsanlagen die Aufsichtsbehörden schnell an die Grenze ihrer Belastbarkeit bringen könnte. Gleichwohl gibt es bereits einen praktisch erprobten Ansatz, mit Massenmeldungen umzugehen: Der bayerische Landesdatenschützer Thomas Petri war dank einer Anfrage der Grünen im Landtag im Jahr 2012 bereits in der Lage, eine Liste der Landesregierung, welche die Standorte von 17.000 Videoüberwachungskameras von öffentlichen Stellen beinhaltete, auf statistische Unregelmäßigkeiten hin zu überprüfen.
Eine ähnlich gelagerte Große Anfrage der Piraten-Fraktion im nordrhein-westfälischen Landtag im Jahr 2013 (Drucksache 16/3573) wurde für die Landesregierung vom Innenministerium NRW federführend bearbeitet und vollumfänglich beantwortet (Drucksache 16/4627). Das zuständige Referat gehörte damals zur Abteilung von Frau Block. Block: „Von besonderem Interesse bei einer neuen Anfrage dürfte sein, ob eine Zunahme feststellbar ist – insgesamt und in bestimmten Orten“.
Bis auf die Ausreißer-Jahre 2009 und 2010 blieb die Zahl der Bürgereingaben in NRW annähernd konstant. (Die Zahlen zur Videoüberwachung beruhen auf einer Schätzung.)Grundsätzlich würde Helga Block gerne „vor der Lage“ agieren und nicht von den Ereignissen getrieben werden: „ich finde es gut, wenn man schon sehr früh ansetzt, damit die Industrie etwa wie beim Connected Car oder bei der Videoüberwachungen Lösungen entwickelt, die einen höheren Datenschutzstandard von Haus aus besitzen.“
Schwerpunkt auf kooperative Kontrollen
Die nordrhein-westfälische Aufsichtsbehörde ist zuständig für die Kontrolle von 7.300 öffentlichen Stellen sowie von rund 700.000 Unternehmen und 100.000 Vereinen. Zu den öffentlichen Stellen zählen 400 politisch selbstständige Städte und Gemeinden sowie 30 Kreise und die Städteregion Aachen, rund 6.000 Schulen und 400 Landesbehörden, etwa 300 Organe der Rechtspflege und rund 150 sonstige Einrichtungen des Landes NRW. Erfasst werden außerdem wirtschaftliche Unternehmen der Gemeinden oder Gemeindeverbände ohne eigene Rechtspersönlichkeit, öffentliche Einrichtungen, die entsprechend den Vorschriften über die Eigenbetriebe geführt werden sowie der Aufsicht des Landes unterstehende juristische Personen des öffentlichen Rechts, die am Wettbewerb teilnehmen. Die Anzahl dieser Stellen ist allerdings nicht bekannt. Insgesamt handelt es sich bei den genannten Zahlen um Schätzungen.
Für anlassunabhängige strategische Kontrollen sieht Block „nicht viel Luft“. Sie verweist auf eine Querschnittserhebung zur Datensicherung in den Kommunen unter ihrem Vorgänger und hält „einiges“ für verbesserungsbedürftig. Angesichts des knappen Personals setzt sie auf gemeinsame Prüfung mit den anderen Datenschutzaufsichtsbehörden. NRW war bei der kooperativen Prüfung der Smart-TVs und der Wearables beteiligt und führte 40 Prüfungen bei Immobilienmaklern durch.
Zuletzt nahm die Datenschutzaufsicht an einer koordinierten schriftlichen Prüfaktion teil, um die Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland zu überprüfen. Für diese Prüfung wurden bundesweit 500 Unternehmen unterschiedlicher Größe und Branchen angeschrieben. Hinsichtlich einer Verbesserung bestehender Prüfpraktiken und -strategien hat sie sich noch keine grundlegenden Gedanken machen können.
In Sachen Rechtsdurchsetzung hat Block die Zügel deutlich angezogen: 2015 erteilte die Behörde 29 Bußgeldbescheide und Verwarnungen, 2016 wurden rund 75 Bußgeldverfahren veranlasst bzw. durchgeführt, davon führten bisher 31 zu einem Bußgeldbescheid. Im letzten Jahr führte die Behörde außerdem vier verwaltungsgerichtliche Verfahren durch.
Blocks Vorgänger Lepper erreichte, dass die Zahl der Stellen in den letzten Jahren deutlich gestiegen ist: 2010 hatte die Behörde 45 Stellen, in den Jahren bis 2015 kamen weitere acht Stellen hinzu. Für das Jahr 2016 konnte er um zehn neue Stellen erweitern. Helga Block forderte für das Jahr 2017 nicht mehr Personal. Sie verweist darauf, dass die Behörde bereits 2016 zehn neue Stellen bekommen habe, wobei neun Stellen für die Anpassungsarbeiten für die Datenschutz-Grundverordnung reserviert seien.
Die Landesdatenschutzaufsicht NRW erfährt nur einen schubweisen, aber keinen kontinuierlichen Stellenzuwachs.Die bereits mit Landtag NRW verhandelte Stellenaufstockung sollte auch den Personalmehraufwand der kommenden Jahre erfassen,“ erklärt Block. „Wir haben die Stellen im Wesentlichen mit dem Aufwand begründet, der in der gesamten Zeit vor Geltung der Datenschutzreform entsteht. Diese unbefristeten Stellen sollen auch darüber hinaus erhalten bleiben.“ Sie hält den 2016 erreichten Stellenzuwachs daher für „bemerkenswert hoch und zudem angemessen frühzeitig“. Ab Mai 2018 kämen zwar zahlreiche neue Aufgaben auf die Behörde zu, die jedoch von allen Aufsichtsbehörden in Deutschland gemeinsam bewältigt werden müssten. Block: „Wir arbeiten zunächst mit dem was wir haben. Weitere Stellenforderungen für die Jahre 2018 und folgende haben wir uns aber bereits vorbehalten.“
Autorin:
Christiane Schulzki-Haddouti
Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.