Wir setzen mit dem Beitrag der Fraktion DIE LINKE fort. Es spricht der Abgeordnete Dr. Scharfenberg.
Herr Präsident! Meine Damen und Herren! Entbürokratisierung ist ein beliebter und vielseitig anwendbarer Begriff. Wer kann schon was gegen den Abbau verstaubter, überflüssiger Regelungen haben? Schaut man jedoch genauer hin, so wird deutlich, dass unter der Flagge des Bürokratieabbaus auch andere Ziele verfolgt werden. Es ist schon auffällig, dass gerade der Bereich des Datenschutzes immer wieder unter diesem Gesichtspunkt reformiert werden soll. Die Tendenz einer Aushöhlung des hohen Anspruchs des Volkszählungsurteils von 1984 ist auch im Land Brandenburg unübersehbar. Letztlich ist der vorliegende Gesetzentwurf ein weiterer Schritt in diese Richtung, obwohl er zweifellos - das will ich gern zugestehen auch dazu beiträgt, das Brandenburgische Datenschutzgesetz übersichtlicher und lesbarer zu machen.
Kritikwürdig ist insbesondere die deutlich vorgetragene Absicht, das Niveau des brandenburgischen Datenschutzes auf die Mindeststandards der EG-Datenschutzrichtlinie von 1995 zurückzufahren, weil das Brandenburgische Datenschutzgesetz in einigen Punkten über das durch EU-Recht geforderte Mindestniveau hinausgeht. Mit diesem Rückwärtsgang wird ignoriert, dass insbesondere die technische Entwicklung in den vergangenen 12 Jahren völlig neue Herausforderungen eröffnet und die Ansprüche an den Datenschutz eigentlich sogar noch erhöht hat.
Zugleich verfolgt der Gesetzentwurf das Ziel einer Rechtsangleichung an das Berliner Datenschutzrecht. Aber auch hier ergibt sich der Eindruck, dass die Annäherung gerade nicht in den Regelungen erfolgt, in denen Berlin ein höheres Niveau vorgibt, sondern umgekehrt. So wäre doch jetzt die Gelegenheit, endlich die Datenschutzaufsicht über den öffentlichen Bereich mit dem nichtöffentlichen Bereich zusammenzuführen. Diskutiert haben wir ja lange genug darüber. In Berlin ist es eine Selbstverständlichkeit, dass der Landesdatenschutzbeauftragte für beide Bereiche zuständig ist, ohne dass es damit Probleme gibt. Wenn schon Rechtsangleichung - warum dann nicht an dieser Stelle? Ich befürchte, dass sich das Land Bran
denburg mit diesem Gesetzentwurf noch weiter vom Berliner Standard entfernen und auch im Bundesmaßstab zu den eher rückständigen Ländern gehören wird.
Ich will einige Punkte ansprechen, die Gegenstand unserer Kritik am Gesetzentwurf sind. Das ist zum ersten die Regelung in § 7 Abs. 3. Hier ist die Erarbeitung einer Risikoanalyse vor dem erstmaligen Einsatz oder der wesentlichen Änderung von automatisierten Verfahren vorgeschrieben. Im Unterschied zur Berliner Regelung wird das jedoch nicht mit einem anschließenden Sicherheitskonzept verbunden. Eine Risikoanalyse ist ohne ein solches Sicherheitskonzept nicht viel wert.
Zweitens halten wir den in der Gesetzesbegründung enthaltenen Hinweis zu einer möglichen Befristung der Berufung zum behördlichen Datenschutzbeauftragten für problematisch. Da die meisten Beauftragten ohnehin nur weniger als 50 % ihrer Arbeitsaufgaben mit dieser Berufung verbinden, führt eine solche Befristung zu einer weiteren Einschränkung der Unabhängigkeit von behördlichen Datenschutzbeauftragten. Ist das gewollt?
Drittens sind wir nicht mit der geplanten Abschaffung des Datenschutzaudits einverstanden. Damit wird die Chance einer Verbesserung des Datenschutzes und der Datensicherheit durch unabhängige Prüfer verspielt, statt auf diesem Weg weiter voranzugehen und Erfahrungen zu sammeln.
Viertens kritisieren wir die veränderten Schadensersatzansprüche. Warum sollen mögliche Schadensersatzansprüche nicht mehr wie bisher in Höhe von bis zu 250 000 Euro möglich sein, sondern nur noch bis zu 125 000 Euro? Das ist aus unserer Sicht ein falsches Signal.
Fünftens ist nicht nachvollziehbar, warum das Anrufungsrecht von Betroffenen - bisher in § 21 Abs. 2 geregelt - gestrichen werden soll. Es ist eben nicht selbstverständlich, dass niemand wegen einer Anrufung der Landesdatenschutzbeauftragten benachteiligt oder gemaßregelt werden darf. Deshalb sollte diese Regelung nach unserer Ansicht im Gesetz bleiben.
Zum Abschluss verweise ich auf die in Artikel 2 vorgeschlagene Einrichtung einer automatisierten zentralen Schülerdatei, die in mehrfacher Hinsicht fragwürdig ist. Damit ist eine der größten Datensammlungsaktionen der jüngeren deutschen Geschichte angeschoben worden. Das verbindet sich mit der Zielstellung, einen Überblick über das Bildungssystem zu schaffen, um ein „effektiveres, ressourcenoptimierteres und bildungspolitisch begründetes Handeln und Planen zu ermöglichen.“ Das rechtfertigt aber wohl kaum die Anfertigung einer Individualdatei, in der jemand lebenslang über eine Identitätsnummer erfasst werden kann. Stark zu bezweifeln ist insbesondere, ob die Daten zum familiären Hintergrund oder zur Herkunftssprache für ein effektives bildungspolitisches Planen und Handeln erforderlich sind. Sowohl für die Schülerlaufbahnstatistiken als auch noch mehr für die Schülerdatei steht die prinzipielle Frage der verfassungsrechtlichen Zulässigkeit.
Meine Damen und Herren! Brandenburg braucht keine Durchleuchtung der Schülerinnen und Schüler, sondern eine Überprüfung der Schulpolitik.
Das Problem unserer Schulpolitik ist nicht zuerst ein Datenmangel, sondern die mangelnde Umsetzung der bestehenden Erkenntnisse in eine vernünftige Schulpolitik.
Wir wollen nicht weniger, sondern mehr Datenschutz und Datensicherheit. In diesem Sinne werden wir uns an der Ausschussberatung beteiligen. - Ich bedanke mich für die Aufmerksamkeit.
Während von der SPD-Fraktion die Abgeordnete Stark nach vorn kommt, begrüße ich unsere jugendlichen Gäste von der Oberschule Friedersdorf. Ich wünsche euch einen interessanten Aufenthalt.
Herr Präsident! Meine sehr verehrten Damen und Herren! Turnusmäßig stellt uns die Landesdatenschutzbeauftragte den Tätigkeitsbericht vor. Somit hatten wir in den vergangenen Wochen Gelegenheit, uns schon umfassend mit dem Thema „Datenschutz in Brandenburg“ zu befassen. Sie hat uns aufgeschrieben, dass es gerade im Bereich Datenschutz und Datensicherheit noch einiges zu tun gibt.
Vor uns liegt nun der Gesetzentwurf der Landesregierung mit dem Ziel - wie von Herrn Minister Schönbohm ausgeführt -, eine Anpassung an die EU-Richtlinie 95/46/ EG vorzunehmen. Ich möchte noch einmal darauf hinweisen, was sich dahinter verbirgt. EU-Richtlinie 95 heißt, dass diese Richtlinie zwölf Jahre alt ist. Was sich im IT-Bereich in den vergangenen zwölf Jahren getan hat, wissen Sie alle aufgrund unserer eigenen Entwicklung. Es war ein sehr großer Zeitraum. Wir passen uns also im IT-Bereich an eine zwölf Jahre alte Richtlinie an.
Die Überschrift lautet „Abbau von Normen und Standards“. Man muss natürlich schauen - das ist positiv und dagegen kann niemand etwas sagen, denn der Abbau von Normen und Standards ist immer ein positiv belegter Begriff -, was sozusagen am Ende passiert. Das heißt, bei allem guten Willen zur Entbürokratisierung und Kostensenkung kann und darf es nicht allein darum gehen, die Lesbarkeit und Anwenderfreundlichkeit dieses Gesetzes zu verbessern, sondern es muss darum gehen, bezüglich des Datenschutzes und der Datensicherheit Regelungen zu haben - wir hatten sie in Brandenburg schon, dahinter wollen wir auch nicht zurück -, die es möglich machen, ein hohes Maß an Datenschutz und Datensicherheit zu gewährleisten. Wir haben uns nicht allein mit der Frage auseinanderzusetzen, wie viel Datensicherheit wir brauchen, sondern müssen uns die Frage stellen, wie viel Datensicherheit wir wollen. Wir haben die Möglichkeit, in diesem Gesetz die Dinge zu regeln. Es geht also weit über redaktionelle Anpassungen an EU-Standards hinaus. Hier sind Fragen aufgeworfen worden, die den Kernbereich des Datenschutzes und der Datensicherheit enorm verändern werden. Ich glaube, das muss auch in unser Bewusstsein rücken.
Dieses Gesetz ist uns sehr schnell zugeleitet worden, und ich sage der Datenschutzbeauftragten, die sehr wenig Zeit hatte,
auch schönen Dank. Wir hatten nämlich am 12. Juni eine interne Anhörung und wollten sie gern zu diesem Gesetzentwurf hören. Da lag er ihr noch gar nicht vor.
Hier ist also mit sehr hoher Geschwindigkeit ein Gesetz, das sehr weitreichende Auswirkungen hat, zugleitet worden, auch uns unter der Überschrift zugeleitet worden: Das sind alles nur redaktionelle Änderungen, Anpassungen an EU-Standards; das machen wir ganz husch, husch. - Aber so einfach ist es eben nicht. An drei Punkten möchte ich Ihnen noch einmal sagen, wo wir Beratungsbedarf haben.
Einer der Kernpunkte dieses Gesetzes ist für uns die Frage nach dem Sicherheitskonzept für die Daten. Um den Schutz der Daten sicherzustellen, sind sowohl - wie es ja in Berlin gemacht wird - eine Risikoanalyse als auch ein Sicherheitskonzept unerlässlich. Nach Ansicht unserer Datenschutzbeauftragten, die sie auch schon im Dezember zum ersten vorliegenden Gesetzentwurf geäußert hat, ist nur die Kombination aus beidem ein wirkungsvoller Grundschutz. Insofern war das im Gesetz so festgeschrieben. Das findet sich jetzt aber leider in dem Entwurf nicht mehr.
Während - jetzt wiederum auf die Bundespolitik geguckt - gerade auch Innenminister Schäuble sehr viel Energie darauf verwendet, genau im Bereich IT, Datensicherheit, Bekämpfung von Datenkriminalität sozusagen alles gegen Kriminelles im Netz zu tun und hier Bedingungen zu schaffen, die es den Hackern eben nicht so einfach möglich machen, an Daten aller Art zu kommen, gehen wir jetzt - wenn man so will - einen Schritt zurück. Das müssen wir uns vor Augen führen. Das ist ein wesentlicher Punkt.
Ich kündige also schon an, dass wir das nicht so einfach hinnehmen. Ich sage hier nichts Konkretes, aber wir haben sicherheitsrelevante Bereiche in der brandenburgischen Landesverwaltung, die nicht über ein Sicherheitskonzept verfügen. Das heißt, Hackern, vielleicht schon Schülern, die darin fit sind, wäre es möglich, in unsere Systeme und an die Daten zu kommen. Nun kann man natürlich sagen, darin ist ohnehin nichts Ordentliches, nichts Wichtiges zu finden. Ich meine, große Unternehmen gehen ganz anders daran. Da ist der Bereich der Datensicherheit ein ganz herausgehobener Bereich. Die haben ein großes Interesse daran, dass niemand von außen in ihre Daten gucken kann. Das ist hier leider etwas anders.
Ganz kurz: Datenschutzaudit, Gütesiegel! Das hatten wir einmal. Auch hierauf soll jetzt verzichtet werden, obwohl Bundesländer wie Schleswig-Holstein damit sozusagen europaweit werben.
Nutzer von Verwaltung und Wirtschaft können mit diesem Datenschutzaudit auch Wirtschaftsförderung betreiben, es als Gütesiegel für ihre Produkte begreifen. Das soll in Brandenburg leider auch abgeschafft werden.
Das Thema Schülerdatei hatte mein Vorredner schon ausgeführt. Dazu brauche ich nichts mehr zu sagen. Das ist für uns auch ein Punkt.
Dann ist noch ganz wichtig die Zusammenlegung von öffentlichem und nichtöffentlichem Datenschutz. Das hatten wir auch vor etwa einem Jahr schon thematisiert. Da möchten wir auch dranbleiben.
Häufig wird der Ausschuss für Normen und Standards zitiert und als positiv bzw. als Flaggschiff vorangestellt. In diesem Fall - Tina Fischer hat es auch gut gemacht - hat der Ausschuss einstimmig die Zusammenführung von öffentlichem und nichtöffentlichem Datenschutz beschlossen. Dazu gibt es nichts mehr zu sagen. Wir hatten die Landesregierung gebeten, und bis Sommer 2008 soll geprüft werden. Ich hoffe, dass wir das dann in positivem Sinne hinbekommen werden.
Herr Präsident! Meine Damen! Meine Herren! EU-Mindeststandards sind kein Dogma, schon gar keins für Verwaltungsabläufe unterhalb der nationalstaatlichen Ebene.
Anders als der vorliegende Gesetzentwurf unter Punkt A sehe ich kein Problem darin, dass das Brandenburgische Datenschutzgesetz in einigen Punkten über den EU-Standard hinausreicht.
Die beabsichtigte Reduzierung des Vollzugsaufwandes wirft hier aber eine Vielzahl von Fragen auf, auf die die Begründung zum Gesetzentwurf keine befriedigende Antwort gibt. So ist es zum Beispiel nicht notwendig, dass zukünftig durch die Datenverwertung geschädigte Betroffene rechtsgeschäftlich auf Schadensersatz verzichten können sollen. § 276 Abs. 3 BGB hilft hier nicht weiter, da er sich nur auf Vorsatzdelikte reduziert, und schließlich sollte die Schadensverfolgung doch weiterhin im Ermessen der Bürger liegen. Auch sollte aus Gründen der Transparenz im Gesetz stehen bleiben, wemgegenüber sie ihre Ansprüche geltend machen müssen. Denn zumindest für juristische Laien dürfte dies keine Selbstverständlichkeit sein, wie in der Begründung behauptet wird.
Weiterhin ist die abschließende Begrenzung der Verfahren mit einer Vorabkontrolle durch den behördlichen Datenschutzbeauftragten fragwürdig, da mithin nicht jeder Einzelfall erfasst werden dürfte, bei dem besondere Risiken für die Rechte der Betroffenen bestehen.
Des Weiteren ist völlig unverständlich, wie die Verweisung auf die zivilrechtlichen Voraussetzungen für eine außerordentliche fristlose Kündigung nach § 626 BGB die Unabhängigkeit des behördlichen Datenschutzbeauftragten stärken soll. Diese ist zumindest insofern fragwürdig, als sie gegebenenfalls in Konkurrenz zum öffentlichen Dienstrecht, namentlich auch zum Disziplinarrecht, treten muss.
Auch die Neuformulierung des § 11 zur Verarbeitung personenbezogener Daten im Rahmen eines Auftragsverhältnisses ist nicht unproblematisch. Insbesondere bleibt hier die Frage offen, meine Damen und Herren, wie im Einzelfall die Wirksamkeit der Vertragsgestaltung zur Einhaltung des Datenschutzes wirksam kontrolliert werden soll, wenn andererseits ein generelles Bedürfnis, die Landesdatenschutzbeauftragte zu unterrichten, zukünftig nicht mehr bestehen soll. - Dies ist also ein Widerspruch, meine Damen und Herren.
Gleichfalls ist der Verweis auf die Praxis unzureichend dafür, dass in diesen Fällen auch das Zustimmungserfordernis im Rahmen von § 11 Abs. 1 grundsätzlich wegfallen soll. Dies ist vor allem auch vor dem Hintergrund problematisch, meine Damen und Herren, dass öffentliche Stellen zukünftig nicht mehr für nicht zu vertretende Schäden im Zusammenhang mit Datenverarbeitung ersatzpflichtig sein sollen, zumal § 20 Abs. 2 bereits unter Hinweis auf die Mitverschuldensregelungen des BGB ausreichende Haftungsbegrenzungen enthält.
Schließlich unterliegt jede öffentliche Stelle bei der Verwertung persönlicher Daten einer erhöhten Sorgfaltspflicht, dem bisher die Gefährdungshaftung besonders Rechnung trägt, meine Damen und Herren.
Des Weiteren ist die Begründung zur Änderung des Verfassungsschutzgesetzes insofern widersprüchlich, als einerseits von einer bloßen Klarstellung des Rechts zur Verarbeitung von Daten besonderer Kategorien, andererseits aber gleichzeitig von einer bestehenden Regelungslücke gesprochen wird.
Da der Gesetzentwurf trotz aller Kritikpunkte auch einige durchaus vernünftige Regelungen enthält, insbesondere die Schaffung einer zentralen, automatisierten Schülerdatei sowie die Zusammenfassung der Ordnungs- und Strafvorschriften im Datenschutzgesetz, werden wir einer Überweisung an den Innenausschuss zustimmen. - Ich danke für Ihre Aufmerksamkeit.
Herr Präsident! Verehrte Kolleginnen und Kollegen! Kollege Scharfenberg, ich kann die Aufgeregtheit der Fraktion DIE LINKE hier überhaupt nicht verstehen. Auf der einen Seite verlangen Sie genau wie wir Bürokratieabbau: Wenn es dann konkret wird, erfinden Sie aber alle möglichen Gründe, um dagegen zu sein und nach dem Motto zu handeln „Wasch mir den Pelz, aber mach mich nicht nass“.