Trotzdem möchte ich vier Aspekte herausgreifen, sodass Sie erkennen können, dass man sich nicht auf dem Erreichten ausruhen darf, sondern dass man immer wieder neu Sensibilisierung produzieren muss.
Das betrifft zunächst einmal Patientenakten, Arztpraxen und Krankenhäuser. Ich kann nicht verstehen – in Hessen war dies zuletzt im Jahr 2016 der Fall –, dass man in einem Krankenhaus auf einem Notausgangweg Patientenakten findet. Meine sehr verehrten Damen und Herren, das geht einfach nicht.
Das ist eine Unsensibilität derjenigen, die damit beschäftigt sind. Mann, Mann, Mann – irgendwann muss man doch einmal kapieren, dass Krankenakten ganz persönliche Daten enthalten und dass diese, wenn man sie nicht vernichten kann, irgendwo gelagert werden müssen, und nur derjenige hat Zugang dazu, der einen Schlüssel hat.
Das zweite Thema ist die Ausgestaltung der polizeilichen Falldatei „Rauschgift“. Auch darauf haben Sie hingewiesen, Herr Prof. Ronellenfitsch. Das ist offensichtlich in der Kommunikation mit der Polizei und dem Innenministerium auf einem guten Weg. Man muss aber immer wieder aufpassen, und zwar beim Hereinnehmen der Daten, aber insbesondere auch beim Löschen der Daten. Hier haben wir noch ein bisschen Nachholbedarf in der Diskussion.
Nun zu meiner dritten inhaltlichen Bemerkung. Vielen Dank, dass man mithilfe der Expertise des Datenschutzbeauftragten eine – in Anführungszeichen – datenschutzrechtlich saubere Ausgestaltung z. B. der Regelungen zum Einsatz von Bodycams im HSOG hat erreichen können. Hier zeigte sich, dass Sie die Landesregierung laufend beraten. Wenn das nicht so richtig in den Rahmen der Berichte hineinpasst, dann berichten Sie uns im Unterausschuss Datenschutz darüber. Ich habe bisher keinen großen Dissens bei den Kolleginnen und Kollegen feststellen können.
Meine vierte Bemerkung bezieht sich auf die internationale Ebene, auf das EU-US Privacy Shield. Bitte vernachlässigen Sie in Ihren Gedanken nicht, dass es dabei um Unmengen von Daten geht. Wir haben eine Vielzahl kleiner, mittelständischer, aber auch großer Unternehmen, die amerikanische Mütter haben oder hatten oder die eng mit amerikanischen Unternehmen zusammenarbeiten und die bis hin zu Personalakten einen Ausgleich vornehmen. So einfach, wie es sich die amerikanischen Behörden, aber auch die EU vorgestellt haben, kann ein Datenaustausch mit den Vereinigten Staaten nicht stattfinden.
Eine letzte Bemerkung. Auch wir sehen den Meldedatenabgleich der Rundfunkanstalten sehr kritisch. Wir hören und wir wissen ja auch, dass der Rundfunkstaatsvertrag erneut geändert werden soll und dabei die Vorgaben der EUDatenschutz-Grundverordnung eingearbeitet werden sollen. Ich bin gespannt, wie das dann mit Blick auf die journalistischen Zwecke definiert wird.
Meine sehr verehrten Damen und Herren, wir in Hessen müssen uns sputen. Das sage ich sehr kritisch, und ich hoffe, dass der Minister anschließend noch Stellung dazu neh
men wird. Am 25. Mai 2018, also grob gerechnet in sechs Monaten, muss ein fertiges hessisches Datenschutzrecht auf dem Tisch liegen und zuvor besprochen worden sein. Andernfalls gilt das Recht der EU, und das wollen wir nicht. Das wollen wir parteiübergreifend nicht. Die Besonderheiten Hessens wollen wir auch weiterhin im Datenschutz normiert haben.
Meine sehr verehrten Damen und Herren, es stehen nun noch sechs Monate für die Beratung eines Gesetzentwurfs zur Verfügung, der aber immer noch nicht in den Hessischen Landtag eingebracht worden ist. Insofern fordert uns die Landesregierung schon ganz schön viel ab. Ich hoffe, dass dieser Gesetzentwurf spätestens zur Dezembersitzung vorgelegt wird.
Meine sehr verehrten Damen und Herren, ich wünsche dem Datenschutz, dass er weiterhin so gut geschützt wird, wie wir das in Hessen seit Anfang der Siebzigerjahre normiert mithilfe der jeweiligen Datenschutzbeauftragten machen. Arbeiten wir weiter so. Aber bitte jetzt schnell den Gesetzentwurf her. – Vielen herzlichen Dank.
Herr Präsident, meine sehr geehrten Damen und Herren, lieber Herr Prof. Ronellenfitsch! Wir danken für die vorgelegten Berichte und die Stellungnahmen der Landesregierung. Das zeigt einmal mehr, dass es eine gute Zusammenarbeit gibt zwischen dem Datenschutzbeauftragten, der Landesregierung, aber auch dem Landtag. Dieses Mal – das hat der Ausschussvorsitzende schon gesagt – beraten wir zwei Tätigkeitsberichte. Dies hat zwei Seiten. Zum einen hat der ganze Ablauf beim 44. Bericht etwas länger gedauert. Zum anderen kann man positiv hervorheben, dass beim 45. Bericht alles wieder schnell ging und die Landesregierung ihre Stellungnahme zeitig geliefert hat. So konnte der Ausschuss auch zeitnah beraten.
Der Ausschussvorsitzende Dr. Hahn hat alles richtig gemacht; denn er hat seinen parlamentarischen Geschäftsführer in die vergangene Ausschusssitzung geschickt. Dieser hat uns versprochen, sich dafür einzusetzen, dass auf der Tagesordnung der nächsten Plenarsitzung noch ein Platz gefunden wird. Dies ist trotz der übervollen Tagesordnung gelungen, sodass die öffentliche Beratung keinen weiteren Verzug mehr erfahren hat. Vielen Dank dafür.
Wir leben in einer spannenden Zeit des Datenschutzes. Die Datenschutz-Grundverordnung wird in sechs Monaten unmittelbar geltendes Recht. Selbstverständlich wird auch die Umsetzung in hessisches Landesrecht zeitnah erfolgen. Dem Landtag wird auch zeitnah ein Entwurf vorgelegt werden. Darüber haben wir im Ausschuss ausreichend gesprochen.
Bevor ich auf einige inhaltliche Punkte eingehe, möchte ich dem Datenschutzbeauftragten danken für den Einsatz für uns als hessischer Gesetzgeber und als Landespolitiker.
Ihren Einsatz gegen die direkten Durchgriffsrechte, die tatsächlich den Datenschutz auf Landesebene nur zu einem verlängerten Arm der Europäischen Union und insbesondere der Europäischen Kommission machen wollen, wissen wir zu würdigen. Sie haben den gesamten Normsetzungsprozess auf europäischer Ebene sehr intensiv begleitet in Arbeitsgruppen, entweder durch Ihre Mitarbeiter oder auch persönlich. Aus der Sicht des Landes, das in besonderem Maße auf den Grundsatz der Subsidiarität Wert legen muss, ist wahrscheinlich Schlimmeres verhindert worden durch Ihren Einsatz und den Einsatz Ihrer Kollegen aus anderen Ländern.
Ein Blick in die beiden Berichte zeigt: Der Datenschutzbeauftragte, Landtag und Landesregierung arbeiten im Interesse des Landes vertrauensvoll zusammen. Der Datenschutzbeauftragte ist ein wichtiger Ratgeber bei der Gesetzgebung. Sie sind regelmäßig als Anzuhörender bei Gesetzgebungsverfahren dabei und werden an prominenter Stelle angehört. Noch viel wichtiger ist aber aus unserer Sicht, dass Sie frühzeitig aktiv werden und von sich aus proaktiv Hinweise in einem frühen Stadium geben, noch bevor ein Gesetzentwurf den Landtag erreicht.
Der Gesetzgeber ist immer wieder gefordert, nicht nur im innenpolitischen Bereich, wenn es um Sicherheit und Ordnung geht, sondern auch in vielen anderen Bereichen tätig zu werden und auf neue Phänomene einzugehen. Ich möchte nur ein Beispiel herausgreifen. Bei der vergangenen Novelle des HSOG, als die sogenannten Bodycams in das HSOG aufgenommen werden sollten, um Polizeibeamte zu schützen, auch vor unberechtigten Anschuldigungen nach Einsätzen, waren Sie es, der sehr frühzeitig an einem verfassungskonformen und auch datenschutzkonformen Weg mitgearbeitet hat. Nach allem, was wir wissen, hat sich die bisherige Praxis in Hessen sehr bewährt.
Aber auch viele andere Fragen konnten in der Vergangenheit datenschutzkonform gelöst werden. Das wird in den Berichten zutreffend festgestellt. Ein Beispiel sind neue Einsatzmöglichkeiten für den digitalen Personalausweis. Hervorzuheben ist außerdem die elektronische Antragstellung von Fördermitteln in der Wissenschaft. Das konnte datenschutzkonform gelöst werden. Hessen war hierbei wieder einmal Vorreiter und hat dazu beigetragen, Verwaltungsabläufe und Verfahren zu vereinfachen und zu beschleunigen.
Datenschutzrechtliche Bedenken, die es vereinzelt immer noch gibt, bei der Vorgehensweise von öffentlichen Stellen – das betrifft das ursprüngliche Kerngeschäft des Datenschutzbeauftragten – konnten in den beiden Berichtszeiträumen, die hier beleuchtet werden, zeitnah ausgeräumt werden. Das ist erfreulich. Immer wieder – das hat auch schon der Kollege Dr. Hahn hervorgehoben – hat der Datenschutzbeauftragte aus unserer Sicht zu Recht einen besonders sensiblen Umgang mit Patientenakten und Krankendaten angemahnt. Er hat hier ein Fehlverhalten zeitnah mittels einer Intervention beenden können.
Meine sehr geehrten Damen und Herren, der Bereich des öffentlichen Datenschutzes ist die eine Seite. Der Datenschutz hat zwar seinen Ursprung als klassisches Abwehrrecht der Bürger gegen einen übermächtigen Staat und seine Institutionen; aber heutzutage bedroht die Verwendung personenbezogener Daten durch Private die Bürgerinnen
und Bürger weitaus mehr, als das staatliche Stellen jemals hätten tun können. An der unrühmlichen „Spitze“ der privaten Sammler stehen die großen Konzerne Facebook, Alphabet und das größte Kaufhaus der Welt, Amazon, die inzwischen nicht ganz zufällig die drei wertvollsten Konzerne der Welt geworden sind, obwohl sie alle nichts Physisches herstellen, sondern bestenfalls vertreiben. Bei den beiden reinen Internetkonzernen wird weder etwas Physisches erzeugt noch vertrieben.
Die Feststellung „Du bist nicht der Kunde, du bist das Produkt“ trifft hier voll und ganz zu. Das mahnt uns permanent zu erhöhter Wachsamkeit, und zwar auf einem Tätigkeitsfeld – das erkennen wir an –, wo die Europäische Union tatsächlich gefordert ist. Wir sind hier nicht gegen ein Handeln der Europäischen Union oder der Europäischen Kommission. Bei allen grenzüberschreitenden und internationalen Warenverkehren erkennen wir ausdrücklich an, dass nur auf der EU-Ebene entsprechend gehandelt werden kann. Was wir aber weiterhin gern selbst regeln wollen, sind die hessischen Belange.
Aber nicht nur aus dem Silicon Valley droht eine übermäßige Datensammlung durch Private, sondern wir haben auch noch andere Dauerthemen, die Private hier in Hessen betreffen. Ein Dauerthema ist z. B. die Bonitätsprüfung bei Onlinebestellungen und in Vertrieb und Verkauf generell. Ich möchte nicht in Abrede stellen, dass es selbstverständlich im Interesse jedes Dienstleisters, Finanzdienstleisters und Versenders ist, sich vorher zu versichern, dass ein Kunde, der etwas bestellt, auch bezahlen kann und dass ein Kreditnehmer irgendwann etwas zurückzahlen kann. Aber immer wieder überschreiten einzelne Dienstleister hierbei das, was nötig ist, und ziehen die Bonitätsprüfung auf einen Zeitpunkt vor, zu dem es noch nicht angezeigt ist, einen Kunden zu durchleuchten.
In vielen Bereichen des täglichen Lebens – das ist mein letztes Beispiel – machen digitale Innovationen das Leben angenehmer und leichter: Elektronische Bezahlsysteme und elektronische Kommunikation sind aus dem Alltag nicht mehr wegzudenken. Wir sind beileibe nicht fortschrittsfeindlich – ganz im Gegenteil –, aber jede Innovation, die uns erreicht, bedarf einer besonderen datenschutzrechtlichen Prüfung.
Abschließend kann ich sagen, dass Sie, Herr Prof. Ronellenfitsch, und Ihre Mitarbeiterinnen und Mitarbeiter diesen Prozess und alle neuen Entwicklungen zeitnah und kompetent begleiten und pragmatisch und mit geschärftem Blick für den Datenschutz meistens einen gangbaren Weg finden, der der Wirtschaft und den Bürgern entgegenkommt, der Fortschritte nicht unterbindet, sondern sie ermöglicht – aber in einer datenschutzkonformen Weise. Dafür gilt unser herzlicher Dank. Machen Sie und Ihre Leute weiter so, dann ist der Datenschutz in Hessen in guten Händen.
Herr Präsident, meine sehr verehrten Damen und Herren! Ich möchte mich in den Reigen derer einfügen, die sich bei Ihnen, Herr Prof. Ronellenfitsch, recht herzlich für die Vorlage dieses Berichts bedanken. In erster Linie danke ich Ihnen aber für die gute Zusammenarbeit, die wir mit Ihrer Behörde pflegen. Es ist eine gute Tradition, dass die Zusammenarbeit zwischen dem Parlament und den Datenschützern gut ist, dass die Landesregierung Ihre Ratschläge sucht und viele Dinge, auch gesetzliche Regelungen, mit Ihnen abspricht. Von daher herzlichen Dank an Sie, aber auch an die Mitarbeiterinnen und Mitarbeiter Ihres Hauses für die engagierte Arbeit, die Sie in den vergangenen Jahren geleistet haben.
Es war ja eine aufregende Zeit. Wie Sie uns im Unterausschuss Datenschutz vielfach berichtet haben, waren die Umsetzung der EU-Datenschutz-Grundverordnung und die Erarbeitung eines entsprechenden Datenschutzgesetzes eine Herkulesaufgabe. Wir haben gemerkt – haben es beim Datenschutzforum auch gesehen –, dass Sie mit viel Verve die hessischen und die deutschen Datenschutzstandards verteidigen und immer wieder einen hohen Datenschutzstandard einfordern und daran keine Abstriche machen wollen. Das ist der Prozess, in dem wir uns gerade befinden.
Wir sind zurzeit in Gesprächen, was das Datenschutzgesetz angeht. Das ist angesichts der in englischer Sprache verfassten Richtlinie eine ziemlich komplexe Angelegenheit; Sie haben es gerade angedeutet. Aber nicht nur das: Die Rechtssetzungsnormen in den Richtlinien und Verordnungen der Europäischen Union in deutsches Recht zu übertragen und dabei auch noch die hessischen Datenschutzregelungen unterzubringen, ist ein sehr komplexer Gesetzgebungsvorgang. Es ist nicht gerade das dünnste Gesetz, das da erarbeitet wird. Sie haben sich frühzeitig eingeschaltet und daran mitgewirkt, auch auf europäischer Ebene. Auch dafür, Herr Prof. Ronellenfitsch, danken wir Ihnen herzlich.
Weil es der Kollege Hahn gerade angesprochen hat: Natürlich gilt es jetzt, das in ein hessisches Gesetz umzusetzen. Wir haben ein Enddatum: Mai 2018. Bis dahin soll die EUDatenschutz-Grundverordnung umgesetzt sein. Wenn alles so läuft, wie es geplant ist, werden wir Ihnen zum Dezember-Plenum einen Gesetzentwurf zur Änderung des Hessischen Datenschutzgesetzes vorlegen, der die Regelungen der Datenschutz-Grundverordnung umsetzt, z. B. den Zugang der Bürgerinnen und Bürger zu Informationen auf der Grundlage der Informationsfreiheit. Auch diese wollen wir im Gesetz regeln.
Ich hoffe, dass darüber im Dezember in diesem Hause diskutiert werden kann und dass wir, wie es gewünscht ist, wie es Herr Prof. Ronellenfitsch angesprochen hat, möglichst in großer Einigkeit dieses Gesetz verabschieden; denn Hessen hat beim Datenschutz einen guten Ruf. Wir sind sozusagen das Ursprungsland des modernen Datenschutzes, und das wollen wir auch bleiben. Von daher wäre es gut, in einem solchen Gesetzgebungsvorhaben eine breite Mehrheit in diesem Hause zu bekommen. Wir laden auf jeden Fall dazu ein.
Der Kollege Hahn hat schon erwähnt, dass wir beim Eurovision Song Contest zwar nicht immer gut abschneiden, dass wir aber zumindest zweimal den Sieger stellen konnten. Ich will auf einen weiteren Punkt eingehen, den der Kollege Hahn als Vorsitzender des Unterausschusses Datenschutz angesprochen hat: sich Gedanken darüber zu machen, wie man bei dem einem oder anderen Verband, vielleicht auch bei der Kassenärztlichen Vereinigung, das Bewusstsein dafür schaffen kann, dass es Problembereiche gibt, die immer wieder angesprochen werden. Ein Problembereich ist die Frage des Datenschutzes in Arztpraxen. Da geht es um sensible Daten, Gesundheitsdaten, und immer wieder taucht die Frage auf: Wie werden diese Daten gesichert? Wie werden die Akten aufbewahrt? Wie werden die Daten gesichert, was z. B. den Zugang zu Servern angeht? Wenn die Server in Arztpraxen in einem Kellerraum stehen und für jedermann zugänglich sind, dann ist das ein Zustand, der so nicht geht.
Herr Ronellenfitsch, Sie haben in dem Bericht mehrere Fälle sowohl in Arztpraxen als auch in Krankenhäusern aufgeführt. Wir hatten hier schon einmal den Fall, dass Patientenakten auf irgendwelchen Fluren herumgelegen haben. Wir müssen noch einmal deutlich sagen, dass in dieser Richtung Änderungen unbedingt erforderlich sind und dass diejenigen, die mit sensiblen Daten umgehen, darauf achten müssen, dass vernünftig mit diesen Daten umgegangen wird. Von daher ist es gut, dass Sie uns immer wieder daran erinnern, dass es an dieser Stelle Probleme gibt. Darüber müssen wir mit den Verbänden und Vereinigungen ein ernstes Wort reden.
Ein weiterer Punkt, den Sie angesprochen haben, sind öffentliche Pranger. Sie haben ein Beispiel genannt: In einem Hotel werden im Eingangsbereich die Krankenstände veröffentlicht und gegenüber den Mitarbeiterinnen und Mitarbeitern mit dem Satz kommentiert: Diese Zahlen muss man sich auf der Zunge zergehen lassen. – Da werden also Mitarbeiterinnen und Mitarbeiter darauf aufmerksam gemacht, wie hoch die Krankenstände der Kolleginnen und Kollegen sind. Auch das geht nicht. Wir müssen darauf drängen, dass solche Dinge nicht vorkommen können.
Für den öffentlichen Bereich haben Sie auch die Regelung der Bodycams angesprochen. Ich glaube, wir haben im Austausch und im Gesetzgebungsverfahren eine Regelung gefunden, die durchaus trägt.
Unter dem Strich will ich sagen: Die Punkte, die Sie angesprochen haben, müssen wir auch mit denen besprechen, die für diese Verstöße verantwortlich sind. Wir müssen mit den Vereinen, den Verbänden und den Vereinigungen über die Umsetzung reden. Wir müssen mehr Sensibilität für den Datenschutz und für den Umgang mit Daten schaffen. Wenn wir, gerade in kleinen und mittleren Betrieben, unterwegs sind, merken wir immer wieder, wie mit Daten umgegangen wird. Da müssen wir Sensibilität herstellen.
Deswegen ist es immer wieder gut, wenn Sie darauf aufmerksam machen und wenn wir das im Unterausschuss Datenschutz und im Hessischen Landtag besprechen. Ich danke Ihnen für die geleistete Arbeit, insbesondere den Mitarbeiterinnen und Mitarbeitern des Hauses, und wün