Der Europäische Gerichtshof hat nun mit einem Urteil vom März dieses Jahres, auf das sich der Antrag der FDP bezieht, verfügt, dass nach geltendem EU-Recht Datenschutzkontrolle generell durch von staatlicher Aufsicht und Kontrolle unabhängige Stellen zu erfolgen hat. Damit verstößt eine Beibehaltung der Kontrolle privater Datennutzung in Thüringen durch das Landesverwaltungsamt nicht nur gegen praktische Erwägungen, die ich Ihnen gerade zu nennen versucht habe, sondern auch gegen EURecht. Die Übertragung der Kontrolle auch des in Landeszuständigkeit zu kontrollierenden privaten Sektors auf den Thüringer Datenschutzbeauftragten als eine unabhängige Stelle im Sinne des Europäischen Gerichtshofs sollte daher eigentlich kein Problem sein. Nun ist es aber so, dass sich an dem Gebot einer generellen staatsunabhängigen Kontrolle die Fantasie und nachfolgende Alternativüberlegungen einiger Landesinnenminister entzündet haben. Möglicherweise wird Herr Geibert dazu noch etwas sagen. Die Begründung lautet, ich erwähne sie hier, weil wir uns darüber im Ausschuss noch einmal unterhalten müssen: Ein Datenschutzbeauftragter oder eine sonstige nicht öffentliche Stelle verfüge über keine, nach deutschem Verfassungsrecht zulässige Eingriffsbefugnis gegenüber Privaten, da staatliche Gewalt immer demokratisch zu kontrollieren sei. Dieser Einwand ist aber nun nicht neu, sondern er war bereits Gegenstand des Verfahrens vor dem Europäischen Gerichtshof. Da ging es gerade um die Rechtslage in der Bundesrepublik. Der Europäische Gerichtshof hat in der Entscheidung festgestellt, dass auch unabhängige Kontrollgremien zum Beispiel durch ihre Anbindung an ein Parlament, das Berichts- und Rechenschaftenpflichten auferlegt, ausdrücklich nicht als frei von demokratischer Kontrolle anzusehen sind und somit auch solche Kontrollgremien dem Demokratieprinzip genügen. Diese Voraussetzungen erfüllen Datenschutzbeauftragte und damit auch unser Datenschutzbeauftragter in Thüringen. Bei dem Versuch sollte er auch von unserem Innenminister unternommen werden -, eine inhaltlich, meines Erachtens unzweckmäßige Trennung in staatliche und unabhängige Kontrollbereiche weiterzuverfolgen, kommt ein schwergewichtiges Problem auf uns zu. Dafür müsste nämlich das EU-Recht geändert werden. Da könnte man sagen, was soll es, denn die EU-Datenschutzrichtlinie wird doch ohnehin gerade überarbeitet. Eine von staatlichen Stellen unabhängige Datenschutzkontrolle, auch im nicht öffentlichen Bereich, wird aber nicht nur in Artikel 28 der derzeitigen EU-Datenschutzrichtlinie gefordert, sie folgt meines Erachtens auch aus Artikel 8 der EUGrundrechtecharta, die mit dem Lissabon-Vertrag in Kraft gesetzt wurde. Auch dort wird in Absatz 1 der Schutz personenbezogener Daten garantiert und im Absatz 3 heißt es dann: „Die Einhaltung die
ser Vorschriften wird von einer unabhängigen Stelle überwacht.“ Die Unabhängigkeit von Kontrollbehörden im Bereich des Datenschutzes wird damit grundrechtlich verbürgt und kann meines Erachtens bei einer Überarbeitung auch der EU-Datenschutzrichtlinie nicht übergangen werden. Deswegen glaube ich, wir würden uns verheddern und verheben, wenn wir, um die Übertragung von derzeit zwei Stellen im Landesverwaltungsamt - so viele sind es nur - auf den Thüringer Datenschutzbeauftragten zu unterlassen, Vorgaben der EU-Grundrechtecharta ändern lassen wollten. Das wird wohl nicht so erfolgreich sein.
Der Idee, einen derart weitgehenden Prüfauftrag nach Brüssel auf den Weg zu bringen und damit verbunden die längst überfällige Reform des Thüringer Datenschutzrechts, über den Antrag der FDP hinausgehend, auf der langen Bank zu parken, der kann ich nichts abgewinnen und würde deswegen davon abraten wollen. Wir brauchen uns nicht in eine europäische Warteschleife zu begeben, wenn sich schon jetzt absehen lässt, dass wir mit einem derartigen Ansinnen in einer Sackgasse landen.
Nun ist aber unser Landtag kein juristisches Konzil. Damit will ich Sie mit dieser förmlichen Darlegung nicht weiter langweilen, so dass wir den derzeitigen möglichen Dissens in Ruhe und Sorgfalt in einer vertiefenden Ausschussdebatte ausdiskutieren und dort ausräumen sollten.
Nochmals zurück zu den Beispielen, die ich Ihnen eingangs genannt habe. Sie zeigen, dass Datenschutz schon lange nicht mehr in die Ecke von Fachfreaks oder reiner Sicherheitspolitik gehört, sondern längst ein Zukunftsthema geworden ist, das in das Alltagsleben jeder Bürgerin und jedes Bürgers ganz massiv eingreift. Eine zeitnahe oder zeitgemäße Datenschutzgesetznovelle auch in Thüringen ist unerlässlich, um einer Abschaffung der Privatsphäre im Internetzeitalter vielleicht doch noch etwas Paroli bieten zu können. Ich möchte Ihnen ein letztes Beispiel nennen, die Wikileaks-Debatte. Sie haben das vielleicht aus einem gewissen Abstand verfolgt. Nun, was geht das uns als Person an, ob irgendwelche Spitzelberichte über Staaten oder Diplomaten verbreitet werden oder nicht? Der interessante Aspekt, der uns alle angeht, ist der, dass Wikileaks die Sperrung oder den Nichtzugang dieser Seiten dadurch verhindert hat, dass Anhänger dieser Eröffnung dieser Daten sogenannte Spiegelseiten gebildet haben. Das ist das Interessante für uns aus datenschutzrechtlicher Sicht. Diese Daten wurden vielfach gespiegelt. Sie finden sich mittlerweile auf ganz vielen verschiedenen Internetportalen wieder, die unübersichtlich geworden sind. Selbst wenn jetzt irgendjemand käme und sagen würde, Wikileaks darf das nicht veröffentlichen, das soll da gelöscht werden, ist es immer noch da. Damit haben wir hier die Verbindung zum Problem, was uns alle betreffen kann.
Wenn jetzt - ich bilde jetzt mal ein etwas lustiges Beispiel, aber es ist ja auch kurz vor Weihnachten auf einer unserer Weihnachtsfeiern, vielleicht im Zustand holder Glückseligkeit, irgendwelche Fotos von uns angefertigt werden und dann auf irgendeiner Seite landen, dann können wir vielleicht noch sagen, das verstößt, auch wenn wir Abgeordnete sind, gegen unsere Privatsphäre. Die Seite hätten wir dann gelöscht. Dann könnten aber auch welche kommen und sagen, das ist so lustig, das spiegeln wir jetzt erst einmal. Dann haben Sie auch das Problem, die Ursprungsseite bekommen Sie vielleicht gelöscht, aber Ihr wunderbares Foto kursiert noch irgendwo herum. Dann wehren Sie sich vielleicht noch öffentlich dagegen und sagen, es ist doch nicht nett, dass solche Fotos von mir verbreitet werden, dann wird vielleicht noch Ihre Abgeordnetenhomepage oder Ihre Seite einem Hackereingriff ausgesetzt oder einem Totstellangriff, das war nun ganz einfach, das konnten wir auch alle nachlesen. Sie müssen nur genügend Leute finden, die auf einmal - das kann man auch maschinell programmieren - bestimmte Seiten aufrufen und dann kommen die zum Absturz.
So ist dieses Wikileaks-Problem etwas, was nicht nur in der höheren Diplomatie Wellen schlägt, sondern was uns alle nachdenklich machen sollte. Da oben sitzt Herr Stauch, jeder von uns kann in die Situation gelangen, seine Hilfe zu benötigen. Und unser Datenschutzgesetz auch hier in Thüringen ist in etlichen Feldern anpassungsbedürftig, sonst stehen Privatsphäreschützer wie er - und wir sind froh, dass wir ihn haben - schon in Kürze mit Holzschwertern Laserkanonen gegenüber.
Auch ich beantrage deshalb für die SPD-Fraktion die Überweisung des Antrags der FDP an den Innenausschuss. Ihr Antrag ist ein relativ kleiner, aber erster Baustein für ein sehr, sehr wichtiges Zukunftsprojekt.
Danke, Frau Präsidentin. Sehr verehrte Kolleginnen und Kollegen, sehr geehrter Herr Stauch, ich freue mich, dass Sie heute zu diesem Thema hier bei uns sind.
gründliche und sehr glaubwürdige Debatte. Ich denke, das ist genau der richtige Weg, um zu einem guten Ergebnis zu kommen, das alle angesprochenen Seiten berücksichtigt. Kollege Hauboldt, ich freue mich natürlich, wenn Sie die Bundesjustizministerin zitieren und ich denke auch, Sie sind da auf dem richtigen Weg.
Meine Damen und Herren, ich erlaube mir, jetzt nicht noch einmal zu begründen, warum wir diesen Gesetzentwurf gemacht haben. Das ist gründlich verstanden worden, sondern ich möchte mir die Zeit nehmen, Ihnen den Inhalt des Entwurfs etwas näherzubringen.
In § 11 Abs. 1 erfolgt durch die Hinzufügung der nicht öffentlichen Stelle eine Erweiterung der Möglichkeit, dass betroffene Personen den Landesbeauftragten für Datenschutz für den Fall kontaktieren, dass eine nicht öffentliche Stelle bei der Verarbeitung oder Nutzung seiner personenbezogenen Daten seine schutzwürdigen Belange beeinträchtigt hat. Weiterhin wird der Zusammenlegung der Kontrolle durch den Landesbeauftragten für Datenschutz der öffentlichen und nicht öffentlichen Stellen Rechnung getragen.
Die Normierung dient somit gleichzeitig dem erweiterten Aufgabenbereich des Landesbeauftragten für Datenschutz. Durch die Änderung in § 36 soll das Urteil des EuGH entsprechend umgesetzt werden, auch eine bestehende Dienstaufsicht steht dem Erfordernis einer völligen Unabhängigkeit des Datenschutzbeauftragten entgegen, da nicht ausgeschlossen werden kann, dass über die Dienstaufsicht versucht wird, Einfluss auf die Kontrollstellen zu nehmen. Die Dienstaufsicht soll demnach nur zulässig sein, wenn die Unabhängigkeit des Datenschutzbeauftragten durch die Dienstaufsicht nicht beeinträchtigt wird. Weiterhin soll der Landesbeauftragte für den Datenschutz die Stellung einer obersten Landesbehörde erhalten.
Dies hat mehrere Vorteile, meine Damen und Herren. Zum einen wird somit klargestellt, dass keine andere Behörde als Aufsicht übergeordnet ist. Zum anderen geht dadurch die Zuständigkeit zur Verfolgung und Ahndung von Ordnungswidrigkeiten gemäß § 43 Bundesdatenschutzgesetz in Verbindung mit § 36 Abs. 1 Nr. 2 a des Gesetzes über Ordnungswidrigkeiten vom Landesverwaltungsamt auf den Landesbeamten für den Datenschutz über. Der Landesbeauftragte wird durch diese Regelung somit auch zuständige Ordnungswidrigkeitenbehörde.
Die Anfügung der Absätze 8 und 9 in § 40 dienen der Klarstellung, dass durch die Zusammenlegung keine Zusammenarbeit mehr zwischen dem Landesbeauftragten für Datenschutz und der Thüringer Aufsichtsbehörde nach § 38 Abs. 6 Bundesdaten
schutzgesetz und damit dem Thüringer Landesverwaltungsamt stattfindet. Es wird noch einmal ausdrücklich in Absatz 9 normiert, dass der Landesbeauftragte für Datenschutz nunmehr Ordnungswidrigkeitenbehörde ist.
Durch die Änderung des § 42 wird dem Landesbeauftragten für Datenschutz die Zuständigkeit der Kontrolle im nicht öffentlichen Bereich übertragen. Es wird hierdurch eine einheitliche Kontrollinstanz geschaffen. Durch eine ausreichende Übergangszeit bei dem Inkrafttreten der Änderung zum Datenschutzgesetz soll sichergestellt werden, dass eine reibungslose Umsetzung des Gesetzes gewährleistet ist.
Durch den vorliegenden Gesetzentwurf, meine Damen und Herren, wird zum einen der Unabhängigkeit der Kontrollstellen aus Artikel 28 Abs. 1 Satz 2 der Richtlinie 9546 EG Rechnung getragen und zum anderen die Datenschutzkontrolle in Thüringen gestärkt. Durch die bestehende getrennte Datenschutzaufsicht ergibt sich ein unnötiger Bürokratieaufwand, den wir mit diesem Entwurf abschaffen wollen. Die Zusammenlegung der Datenschutzaufsicht führt zu mehr Transparenz und somit zu mehr Bürgerfreundlichkeit. Darüber hinaus kann durch die Zusammenlegung und die Ausnutzung von Synergieeffekten ein hohes Datenschutzniveau im öffentlichen und im nicht öffentlichen Bereich sichergestellt werden.
Im Landesverwaltungsamt nimmt bisher eine Person die Aufgabe wahr, den Datenschutz für die nicht öffentlichen Stellen zu sichern. Dort ist sicherlich Handlungsbedarf. Wir haben im Ausschuss die Möglichkeit, darüber zu reden. Es kann und wird nicht funktionieren, wenn eine Person auftretende Beanstandungen bearbeiten und gleichzeitig präventive Maßnahmen ergreifen kann. Das heißt, hier werden wir uns Gedanken machen müssen z.B. über Umsetzungen von Personal, um ein besseres Datenschutzniveau zu gewährleisten.
Ich denke, meine Damen und Herren, dass hier bislang einfach nach der Methode vorgegangen worden ist, solange kein großer Skandal bekannt wird, lassen wir es so, wie es ist. Das kann nicht befriedigen. Ich denke, dass wir im Ausschuss erheblichen Beratungsbedarf haben.
Aus diesem Grund genügt es also auch nicht, jetzt einfach die eine Person aus dem Landesverwaltungsamt an den Datenschutzbeauftragten anzugliedern und darauf zu hoffen, dass es weiterhin gut gehen wird. Durch ein solches Vorgehen würden wir auch die bisher gut funktionierende Kontrollstelle beeinträchtigen. Um die nötigen Kapazitäten vorzuhalten, meine Damen und Herren, bedarf es keiner Neueinstellung, ich habe das gerade schon gesagt. Dadurch, dass die Aufsichtsbehörde für das
Landesverwaltungsamt abgeschafft wird, müssten natürlich auch Stellen aus dem Ministerium frei werden, was vorher als Aufsichtsbehörde tätig war. Wir versprechen uns also, durch die Umsetzung von Stellen den entsprechenden Personalpool zu schaffen. Ich denke, das wäre der entsprechende Schritt, um in die richtige Richtung zu kommen. Ich freue mich auf die interessante Debatte mit Ihnen im Ausschuss. Der Beginn der Diskussion heute hat mir große Hoffnung gemacht, dass das ein wirklich sehr sachliches und interessantes Gespräch werden wird. Ich danke Ihnen.
Sehr geehrte Frau Präsidentin, sehr geehrte Damen und Herren Abgeordnete, der Gesetzentwurf der FDP-Fraktion greift eine Problematik auf, mit der sich die Innenministerien von Bund und Ländern bereits intensiv befasst haben. Der Europäische Gerichtshof hat am 9. März 2010 auf der Grundlage der Europäischen Datenschutzrichtlinie entschieden, dass Datenschutzkontrolle in völliger Unabhängigkeit ausgeübt werden muss. Diese Voraussetzung erfüllt die Kontrolle des Datenschutzes im öffentlichen Bereich. Das ist der, für den Herr Stauch zuständig ist. In § 36 Abs. 1 Satz 1 Thüringer Datenschutzgesetz heißt es: „Der Landesbeauftragte für den Datenschutz ist in der Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen.“ Die Zuständigkeit für die Datenschutzkontrolle im nicht öffentlichen Bereich, also über Unternehmen der privaten Wirtschaft, liegt hingegen beim Thüringer Landesverwaltungsamt, das der Aufsicht unseres Hauses untersteht.
Der Europäische Gerichtshof fordert jedoch in seiner Entscheidung zur Datenschutzrichtlinie, dass ebenso wie im öffentlichen Bereich auch im nicht öffentlichen Bereich die Datenschutzkontrolle frei von jeder Aufsicht ist. Diese Auslegung der Europäischen Datenschutzrichtlinie stellt alle Bundesländer vor ein verfassungsrechtliches Problem. Die Kontrolle über die Einhaltung des Datenschutzes im privaten Sektor, also insbesondere die Befugnis zum Erlass von Untersagungsverfügungen oder zur Verhängung von Bußgeldern, müsste auf eine Instanz übertragen werden, die sich weder der Landesregierung noch Ihnen, dem Landtag, gegenüber verantworten müsste. Dies wird im Bund und in den Ländern unter dem Gesichtspunkt der demokratischen Legitimation kritisch gesehen. Ziel ist es deshalb, die Europäische Kommission aufzufordern, Artikel 28 der Europäischen Datenschutzrichtlinie im Rahmen der ohnehin anstehenden Überarbei
tung zu ändern. Es wird sich im Laufe des nächsten Jahres zeigen, ob die Kommission bereit ist, dieses Anliegen aufzugreifen. Der Gesetzentwurf der FDPFraktion kommt also, wenn Sie es so wollen, noch ein wenig zu früh. Wir müssen schauen, wie die Kommission sich dort entscheidet. Insoweit freue ich mich natürlich schon auf das von Frau Abgeordnete Marx angesprochene juristische Konzil, was im Innenausschuss stattfinden wird, zumal Sie das dahinter liegende juristische Problem zumindest beinahe getroffen haben, denn Maßstab für die Entscheidung des EuGH war ja gerade die eigene Richtlinie und nicht die Verfassung der Bundesrepublik, während die Frage des Gewaltmonopols und der Teilung der Gewalten, die Ausübung öffentlicher Gewalt unter dem Schutz der Parlamente ja Frage von Artikel 20 des Grundgesetzes ist und deshalb natürlich vom Bundesverfassungsgericht genau konträr beantwortet wird zu den Sichtweisen des EuGH.
Wie im Koalitionsvertrag vereinbart, beabsichtigt die Landesregierung, im nächsten Jahr einen Gesetzentwurf zur Novellierung des Thüringer Datenschutzgesetzes vorzulegen, der deutlich über den vorliegenden Gesetzentwurf hinausgeht. Je nachdem, wie sich die Europäische Kommission in der oben genannten Frage entscheidet, wird dieser Gesetzentwurf dann auch eine Regelung enthalten, die das Urteil des Europäischen Gerichtshofs umsetzt. Derzeit trägt die Landesregierung dem EuGH-Urteil dadurch Rechnung, dass sie sich auf dem Gebiet des Datenschutzes im nicht öffentlichen Bereich gegenüber dem zuständigen Landesverwaltungsamt tatsächlich jeglicher Fach- oder Rechtsaufsicht enthält.
Lassen Sie mich nun noch auf einen verfassungsrechtlich eher zweifelhaften Punkt des vorliegenden Gesetzentwurfs inhaltlich eingehen: In Artikel 1 Nr. 2 b des Gesetzentwurfs ist vorgesehen, dass der Landesbeauftragte für den Datenschutz die Stellung einer obersten Landesbehörde erhalten soll. Nach Auffassung der Landesregierung steht diese Regelung nicht im Einklang mit Artikel 69 der Thüringer Verfassung. Dort ist bestimmt, dass ein Datenschutzbeauftragter beim Landtag berufen wird. Das bedeutet, dass der Landtagspräsident bzw. die Landtagspräsidentin als oberste Landesbehörde und damit auch Dienstherr für die Personaleinstellung und die Aufstellung des Haushaltsplans für den Datenschutzbeauftragten zuständig ist. Demnach kann der Datenschutzbeauftragte nicht selbst die Stellung einer obersten Landesbehörde erhalten, aber auch das wird Gegenstand der Diskussion in unserem juristischen Konzil werden können. Herzlichen Dank für die Aufmerksamkeit.
Vielen Dank, Herr Minister Geibert. Es liegt mir jetzt eine Redemeldung von Frau Marx vor. Bitte, Frau Marx.
Herr Minister, ich hatte Ihnen ja schon gesagt in meiner Rede, dass ich mit diesem Moratorium nicht einverstanden bin und dem Europaprüfauftrag, weil ich hier eine andere Rechtsauffassung vertrete. Der EuGH hat ausdrücklich gesagt, dass der Demokratiegrundsatz, den Sie in Artikel 20 Grundgesetz richtig ansiedeln,
nicht bedeutet, dass es außerhalb des klassischen hierarchischen Verwaltungsaufbaus keine öffentlichen Stellen geben kann, die von der Regierung mehr oder weniger unabhängig sind. Es heißt in dem Urteil: „Solche unabhängigen öffentlichen Stellen, wie es sie im Übrigen auch im deutschen Rechtssystem gibt, haben häufig Regulierungsfunktionen oder nehmen Aufgaben wahr, die der politischen Einflussnahme entzogen sein müssen, bleiben dabei aber an das Gesetz gebunden und der Kontrolle durch die zuständigen Gerichte unterworfen. Eben dies ist bei den Aufgaben der Kontrollstellen für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten der Fall. So kann es sein, dass Leitungspersonal vom Parlament oder der Regierung bestellt wird, zum anderen kann der Gesetzgeber die Kompetenzen der Kontrollstellen festlegen.“ Und weiter heißt es: „Außerdem kann der Gesetzgeber die Kontrollstellen verpflichten, dem Parlament Rechenschaft über ihre Tätigkeit abzulegen.“ Damit, denke ich, ist das Argument eigentlich entkräftet. Aber ich habe mich hauptsächlich wegen einer anderen Sache gemeldet. Sie haben gesagt, dass Sie jetzt in dem Zwischenstadium zwar das EuGH-Urteil nicht umsetzen wollen, aber sich jeglicher Fach- und Rechtsaufsicht über das Landesverwaltungsamt in der Datenschutzkontrolle enthalten wollen. Da muss ich jetzt noch mal eingreifen. Ich meine, Demokratieprinzip wollen wir auch, aber da können Sie jetzt nicht diese Abteilung des Landesverwaltungsamts in die Luft hängen. Ihnen steht zwar als neuen Minister 100 Tage Kritikfreiheit zu, aber Sie haben jetzt eine Arbeitsverweigerung angekündigt oder dargelegt, nämlich dass Sie sagen, ich schaue da nicht mehr hin. Da haben Sie jetzt kein Anrecht, zwei Tage nach Ihrer Vereidigung, dass ich noch 98 Tage warte, um das zu kritisieren. Ich glaube, das geht nicht.