Dr. Sebastian Kraska

80331, München
13.06.2017

Datenschutzbeauftragter Thüringen: Grundrechte in den Vordergrund stellen

IITR Information[IITR – 13.6.17] Blättert man durch seine Tätigkeitsberichte und liest seine Pressemitteilungen, kommt man um den Eindruck nicht umhin: Lutz Hasse hat Freude an seinem Job – und weicht Konfrontationen nicht aus. „Ich halte Grundrechte für wesentlich. Doch wenn man im Laufe der juristischen Ausbildung und im beruflichen Werdegang so mitbekommt, wie sie in den Hintergrund gedrängt werden, komme ich zu dem Schluss, dass man ihnen mehr Geltung verschaffen muss“, stellt Hasse fest.

Der thüringische Landesbeauftragte für den Datenschutz und die Informationsfreiheit hat eine ordentliche Verwaltungskarriere hinter sich: Als Jurist leitete Lutz Hasse die Rechtsausbildung für den gehobenen Dienst in der Thüringer Polizei und war danach Referatsleiter im Thüringer Innenministerium, um sich anschließend auf eine Stelle als Referatsleiter beim Thüringischen Landesdatenschutzbeauftragten zu bewerben. Dort blieb er jedoch nicht lange: Er wechselte zum Sozialministerium, um dann auf eine Anfrage aus der SPD-Landtagsfraktion 2012 die Leitung der Datenschutzaufsichtsbehörde in Thüringen zu übernehmen.

Nicht, dass Lutz Hasse die Konfrontation suchen würde. Doch bisweilen stößt er in Behörden und Unternehmen auf harten Widerstand. „Statt uns vorab in Prozesse einzubinden, um diese präventiv datenschutzrechtskonform auszurichten, läuft es leider oft so, dass wir erst auftreten müssen, wenn das Kind in den Brunnen gefallen ist. Daher werden Datenschützer oft als Spaßbremse gesehen. Ziel war und ist es für mich, Behörden und Unternehmen zu überzeugen, uns so früh wie möglich einzubinden, um größere Datenschutzverstöße gar nicht erst entstehen zu lassen. Das ist inzwischen in Thüringen recht gut gelungen. Gleichwohl: entdecken wir solche Verstöße, können wir auch Zähne zeigen.“

Der thüringische Datenschutzbeauftragte Lutz Hasse setzt auf Prävention und Medienkompetenz, weiß aber bei Datenschutzverstößen, wie er „Zähne zeigen“ kann.

 

Klage gegen den Innenminister auf Amtshilfe

Bestes Beispiel: Die Episode „Immelborner Aktenlager“, die Lutz Hasse mit dem Satz einleitet: „Ich habe mir den Ruf erarbeitet, dass ich Recht durchsetze. Das wird nicht überall so gerne gesehen.“ Auf einem Fabrikgelände wurden in der Gemeinde Immelborn auf 3.000 Quadratmetern eine halbe Million Akten aus unterschiedlichen Quellen unsachgemäß eingelagert. Als eine Ärztin im Jahr 2013 Akteneinsicht nehmen wollte, stellte sie bei einem Vor-Ort-Besuch fest, dass mehrere Fenster eingeschlagen waren. So flog die Causa Immelborn auf. Hasse bemerkte bei einem Ortstermin zudem, dass im Dachgeschoss in Kisten gestapelte Akten reihenweise umgestürzt waren. Auch hatten vermutlich Jugendliche im Dachgeschoss Partys gefeiert – leere Flaschen, rundum verteilte Scherben.

„Da reifte der Entschluss sehr schnell: Wir brauchen Hilfe“, erzählt Hasse. Er forderte bei der Polizei zehn Mann für zehn Tage als Unterstützung für die Lagerräumung an. Die Polizei zeigte sich entgegenkommend, doch der damalige CDU-Innenminister verweigerte schließlich die Amtshilfe mit der Begründung, mit dem Abzug der Beamten werde die Sicherheitslage in Thüringen gefährdet. Daraufhin reichte Hasse gegen das Innenministerium eine Klage auf Amtshilfe ein.

Untersuchungsausschuss gegen den Landesdatenschutzbeauftragten

Bevor das Verwaltungsgericht über die Klage entscheiden konnte, fanden Landtagswahlen statt und ein neuer Innenminister wurde ernannt. Gleichzeitig richtete die CDU-Landtagsfraktion, nun in der Opposition, einen Untersuchungsausschuss ein. Der befasste sich ursprünglich mit der Frage, ob Hasse denn richtig gehandelt habe. Inzwischen geht es im Jahr 2017 auch um die Frage, warum verschiedene andere Behörden, auch die Polizei, jahrelang die Zustände im Aktenlager ignoriert hatten. „Als Datenschutzbeauftragter war es meine Pflicht, für rechtskonforme Zustände zu sorgen – so wie andere Behörden nichts zu tun, war für mich keine Option“ sagt Hasse rückblickend.

Zum guten Ende ließ Hasse vom Gericht einen Nachtragsliquidator einsetzen, der die Akten unter Einsatz von mehreren Mitarbeitern und technischem Gerät zur Aktenbergung ordnungsgemäß entsorgen konnte, ohne dass für den Freistaat Thüringen Kosten entstanden. Denn über die Jahre konnten immer mehr Akten dank inzwischen abgelaufener Aufbewahrungsfristen vernichtet werden. Beaufsichtigt wurde die Lagerräumung von den Mitarbeitern des Datenschutzbeauftragten. Weil der Nachtragsliquidator gut arbeitete, konnte die Klage gegen das Innenministerium im beiderseitigen Einvernehmen für erledigt erklärt werden.

„Das Aktenlager Immelborn hat meine Behörde arbeitsmäßig ganz schön in die Knie gedrückt“, resümiert Hasse. Monatelang mussten seine Mitarbeiter vor Ort die Akten sichten und zuordnen. Im Ergebnis entwickelte aber die Behörde gemeinsam mit der Aktenarchivierungsbranche eine „Orientierungshilfe Aktenarchivierung“ mit Checklisten, deren Endfassung derzeit im Düsseldorfer Kreis (Konferenz der Datenschutzbeauftragten des Bundes und der Länder) und dem Arbeitskreis Technik der Datenschutzbeauftragten abgestimmt wird. Die Orientierungshilfe soll einen bundesweiten Standard in der Archivierungsbranche setzen.

Die Bugwelle der kommenden Datenschutzgrundverordnung

Im Moment sieht Hasse seine Behörde vor einer noch größeren Belastungsprobe: Die europäische Datenschutzgrundverordnung. „Sie hat eine andere Rechtssprache, andere Regelungen und viele Öffnungsklauseln. Wir müssen aber nicht nur das neue Bundesdatenschutzgesetz, sondern auch das neue Landesdatenschutzgesetz für unsere Entscheidungen hinzuziehen. Viele Probleme müssen wir völlig neu aufarbeiten, obwohl wir sie eigentlich schon gelöst hatten“, sagt Hasse. Beispiel Videoüberwachung: „Da können wir die bisherigen Regelungen samt Rechtsprechung dazu vergessen. Wir müssen jeden Fall anhand allgemeiner Regeln beurteilen, da wir ja eine Rechtsgrundlage für unsere Anordnung, eine Videoanlage abzubauen, benötigen. Wir werden auch vor dem Hintergrund sich dazu erst entwickelnder Rechtsprechung viele Jahre brauchen, um für alle datenschutzrechtlichen Problemstellungen den Durchdringungsgrad zu erreichen, den wir heute haben.“

Nicht von ungefähr listet Hasse in seinem aktuellen Tätigkeitsbericht unter dem Stichwort „Videogaga“ akribisch 84 verschiedene Fälle für Videoüberwachung auf, die seine Behörde individuell lösen musste. „Ich wollte klar machen, dass das nicht nur ein paar wenige Fälle sind und welche Facetten das haben kann“, sagt Hasse. Den Begriff „Videogaga“ wählte er bewusst als „Eyecatcher“, „um den Irrsinn unterhaltsam zu beschreiben und darüber aufzuklären“. Überhaupt ist es Hasses Ziel, in seinen Tätigkeitsberichten in einer einfachen Sprache die Fälle bürgernah darzustellen – und das braucht Platz: Aus drucktechnischen Gründen musste der letzte Tätigkeitsbericht in zwei Bände aufgeteilt werden: Der Tätigkeitsbericht für den nicht-öffentlichen Bereich kommt auf 424 Seiten (ohne Anhang), der Tätigkeitsbericht für den öffentlichen Bereich auf 544 Seiten (ohne Anhang). Das ist bundesweiter Rekord. Hasse betont aber, dass natürlich längst nicht alle Fälle im Tätigkeitsbericht abgebildet wurden.

Angesichts des neuen und wenig gelungenen Bundesdatenschutzgesetzes hält es Hasse für problematisch, dass eine deutsche Behörde nun vor die Frage gestellt wird, ob sie überhaupt dieses deutsche Recht anwenden kann. Denn das Europarecht hat bei widersprechenden Regelungen Anwendungsvorrang. „Nun müssen wir künftig in vielen Fällen klären, ob sich deutsches und europäisches Recht widersprechen. Wenn der Widerspruch eindeutig genug ist, werden wir Aufsichtsbehörden statt deutschem das europäische Datenschutzrecht anwenden. In diesem Zusammenhang werden sich die Aufsichtsbehörden untereinander abstimmen“, erklärt Hasse.

Mit der kommenden europäischen Datenschutzgrundverordnung erwartet Hasse mehr Anfragen von Bürgern, Behörden und Unternehmen. Eine Statistik über Bürgereingaben und Beratungen führt er nicht. Dafür registriert er die Posteingänge der Behörde. Im letzten Jahr waren es 8.416 Eingänge. Bis Mitte April dieses Jahres waren es bereits 4.254. „Da läuft sprunghaft etwas an“, stellt Hasse fest. Bis Ende des Jahres könnten es hochgerechnet über 12.000 Eingänge sein. Darunter sind Beratungsanfragen von Unternehmen, Anfragen für Vorträge, die Korrespondenz mit den anderen Datenschutzbeauftragten, europäische Angelegenheiten.

Die Umsetzung der europäischen Datenschutzgrundverordnung deutet sich in einer Art Bugwelle bei den Posteingängen der thüringischen Datenschutzaufsicht an.

Immerhin konnte Hasse die Zahl der Personalstellen von 13 im Jahr 2012 auf mittlerweile 21 hochfahren. Seit Ende 2011 nimmt seine Behörde zusätzlich die Aufgaben der Aufsichtsbehörde über Unternehmen, seit 2012 die Aufgaben des Informationsfreiheitsbeauftragten wahr, sodass ihm im Haushaltsjahr 2013 eine Stellenmehrung von 5 Stellen, 2015 von 2 Stellen und 2016 von einer Stelle zugestanden wurde.

Für 2017 möchte er – nunmehr wegen der immensen Aufgabenmehrung infolge der Europäischen Datenschutzgrundverordnung – einige Stellen mehr haben, wobei sich seine Forderung zwischen dem Bull-Gutachten für Brandenburg („Die Auswirkungen der DS-GVO auf die Aufgaben, die Stellung und den Personalbestand der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht“), das auf einen Mehrbedarf von sechs Stellen kam, und dem Roßnagel-Gutachten („Zusätzlicher Arbeitsaufwand für die Aufsichtsbehörden der Länder durch die Datenschutzgrundverordnung“) bewegt, das den Mehrbedarf für eine kleinere Behörde auf rund 25 Stellen bezifferte. Da die Haushaltsverhandlungen jetzt anstehen, will Hasse dazu mehr nicht sagen.

Mit der Stellenerhöhung einhergehend ist auch die finanzielle Ausstattung der Behörde von rund 770.000 € auf rund 2 Mio. € gewachsen. Auf den ersten Blick ist hier aber zum Beispiel nicht erkennbar, dass der starke Anstieg der sächlichen Ausgaben ab 2013 vor allem der Auslagerung der Behörde aus dem Landtagsgebäude geschuldet ist, da für externe Büro-Anmietung nunmehr Miet- und Bewirtschaftungsmittel im Haushalt der Datenschutzbehörde eingestellt werden mussten.

Eine Statistik zu den Bürgereingaben oder gar zu den Themenfeldern, in denen die meisten Bürgereingaben gemacht werden, gibt es nicht. Auch wird nicht erfasst, wie lange eine Bürgereingabe bearbeitet wird. Unbekannt ist auch die Anzahl und Dauer der durchgeführten Beratungen. Konkreter wird es bei den Geldbußen: Die jährliche Summe der Geldbußen bewegt sich in den letzten drei Jahren zwischen 10.000 und 27.000 Euro. Eine Statistik zur Anzahl der anlassbedingten und anlassunabhängigen Kontrollen führt die Behörde nicht. Anlassunabhängige Kontrollen führte die thüringische Datenschutzaufsicht in den letzten Jahren nur selten durch. „Das könnte intensiviert werden“, gesteht Hasse, „aber dazu brauchen wir schlicht mehr Personal“.

Medienkompetenz ist zentral

Das Schlüsselerlebnis zum Thema „Bildung“ hatte er noch in seiner Zeit als Referatsleiter beim Datenschutzbeauftragten. Damals stellte er bei seinen Vorträgen an Schulen fest: „Die Schüler hatten von Grundrechten überhaupt keine Ahnung. Das hat bei mir dann eine Stufe gezündet: Wir müssen etwas tun“. Und er wird noch etwas genauer: „Gerade die in der Würde des Menschen wurzelnde Privatsphäre könnte besser geschützt werden. Hier setze ich mich aktiv ein, es macht mir Spaß, aber ich sehe es auch als Pflicht.“ Damals nahm Hasse Kontakt mit dem Klicksafe-Projekt auf, die Zuarbeiten von ihm aufnahmen und in ihre Unterrichtsmaterialien einarbeiteten.

Apropos Bildungsarbeit: Hier spielt Thüringen inzwischen bundesweit eine wichtige Rolle. So hat die thüringische Datenschutzbehörde von Rheinland-Pfalz den Vorsitz des Arbeitskreises „Datenschutz und Bildung“ übernommen und kooperiert hierbei inzwischen eng mit der Kultusministerkonferenz. Auch eine „Orientierungshilfe zu Online-Lernplattformen im Schulunterricht“ wurde inzwischen erstellt. „Hier sind große Player unterwegs, die individualisierte Lernangebote machen. Aber dazu brauchen sie vielleicht personenbezogene Daten, womit wir Datenschützer ins Spiel kommen“, erklärt Lutz Hasse Er weist denn auch auf das Webangebot „Youngdata“ hin, die von allen Landesdatenschutzbeauftragten betrieben wird.

Inzwischen hat auch die Kultusministerkonferenz das Thema entdeckt und ein Strategiepapier veröffentlicht, das verlangt, dass Medienkompetenz in der Lehrerausbildung an den Hochschulen unterrichtet wird. „Das ist ein sehr wichtiger Erfolg für uns und ein Riesenthema“, findet Hasse. Aufgrund seiner Feststellungen, dass die Vermittlung der Inhalte des Faches Medienkunde bisweilen nicht ausreichend waren, wurde von der Staatskanzlei, mehreren Ministerien sowie weiteren Akteuren ein runder Tisch gegründet, der die Umsetzung von Lehrinhalten zur Medienkompetenz und zum Schutz der Privatsphäre zum Ziel hat. „Ein erster Meilenstein wurde dadurch erreicht, dass das Fach Medienkunde nun von einem Externen evaluiert wird – und meine Behörde daran mitwirkt; das ist bundesweit ein Novum“, freut sich Hasse.

„Bitter ist allerdings“, so schließt Hasse, „dass insbesondere auf Bundesebene der Schutz der Privatsphäre anderen Zielen geopfert wird. Glücklicherweise verhindert das Bundesverfassungsgericht hier die schlimmsten Auswüchse; es interessiert indes inzwischen offenkundig kaum einen Politiker in Berlin, vom Bundesverfassungsgericht fortlaufend abgewatscht zu werden.“ Diese „Rechts-un-kultur“ habe das Grundrecht der informationellen Selbstbestimmung bettlägerig werden lassen. Hasse. „Nur engagierte und informierte Politiker können es noch retten.“ Er hält daher „die unablässige Sensibilisierung“ der politischen Entscheidungsträger für seine wichtigste Aufgabe.

Autorin:
Christiane Schulzki-Haddouti

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.