Datenschutz in der Justiz - Grundsätze des DRB-Landesverbandes
Datenschutz in der Justiz
Grundsätze des Deutschen Richterbundes, Landesverband Nordrhein-Westfalen gebilligt vom Gesamtvorstand am 10.02.2000
zugleich Stellungnahme zum Entwurf einer Rahmendienstanweisung zum Datenschutz und zur Datensicherheit beim Einsatz von IT-Geräten bei Justizbehörden des Landes Nordrhein Westfalen vom 10.12.1998 (RDA DS) unter Berücksichtigung des Gesetzentwurfs zur Änderung des Datenschutzgesetzes Nordrhein-Westfalen vom 2.12.1999 (DSG NRW)
A. Vorbemerkungen
Datenschutz und Datensicherheit sind unverzichtbar zur Sicherung rechtsstaatlicher Grundsätze im Rahmen der weiteren Verbreitung des Einsatzes von IT-Techniken in der Justiz. Das DSG NRW tut dies weitgehend - auch in der vorgeschlagenen Neufassung - indem es die Gerichte, soweit sie als Organe der Rechtspflege tätig werden, vollständig aus seinem Geltungsbereich ausnimmt und für die Staatsanwaltschaften in diesem Bereich nur die Regeln des Zweiten Teils für anwendbar erklärt. Das BDSG nimmt in § 24 Abs. 3. Dies ist erforderlich, um dem Grundsatz der Gewaltenteilung gerecht zu werden, indem die Aufsicht über die Einhaltung der Erfordernisse des Datenschutzes den unabhängigen Gerichten selbst zugewiesen wird. Daran muß sich auch die Dienstanweisung orientieren. Durch die Einschränkungen der Anwendbarkeit des DSG NRW für Staatsanwaltschaften, soweit sie als Organe der Rechtspflege innerhalb des Ermittlungs- und Strafverfahrens tätig werden, wird der Arbeitsweise und ihren Rechtsgrundlagen, insbesondere dem Legalitätsprinzip, jedenfalls teilweise Rechnung getragen.
Auch eine Dienstanweisung zu Datenschutz und Datensicherheit muß diesen Besonderheiten gerecht werden. Dabei ist einerseits der sich aus ihrem gesetzlichen Auftrag ergebenden Arbeitsweise von Richterinnen und Richtern, Staatsanwältinnen und Staatsanwälten Rechnung zu tragen, andererseits zu berücksichtigen, daß die dienstlichen Arbeitsplätze beider Berufsgruppen mit den übrigen Arbeitsplätzen in Gericht und Behörde zu vernetzen und die am häuslichen Arbeitsplatz erstellten Daten über den dienstlichen Arbeitsplatz weiter zu verarbeiten sind, so daß insoweit eine Schnittstelle besteht und Regelungen gefunden werden müssen, die dem Rechnung tragen.
Außerdem sollte eine Dienstanweisung das Anliegen des Datenschutzes auch dadurch fördern, daß nur einsehbare Anforderungen gestellt werden. Bei übertriebenen Anforderungen und ausufernder Bürokratie droht die Gefahr, daß die Regelungen nicht ernst genommen und nicht sorgfältig angewandt werden. Insgesamt ist der Entwurf darauf zu überprüfen, wo Bürokratisierung zu vermeiden ist. Dafür enthält § 9 BDSG eine geglückte Regelung, wonach jeweils die Daten verarbeitende Stelle die für die Ausführung des Gesetzes erforderlichen technischen und organisatorischen Regelungen zu treffen hat und nur solche Maßnahmen erforderlich sind, deren Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
B. Anforderungen im Einzelnen
I. Einheitliche Dienstanweisung/Dienstvereinbarung
Die Grundsätze zu Datenschutz und Datensicherheit müssen einheitlich in allen Gerichten und Staatsanwaltschaften gelten. Dabei ist die Art der behördeninternen Kontrollen so festzulegen, daß die Unabhängigkeit der Rechtspflege gewährleistet ist. Insbesondere ist sicherzustellen, daß für die Rechtsprechung gespeicherte Daten nicht Gegenstand der Kontrolle sein dürfen. Deshalb ist eine einheitliche Dienstanweisung zu erlassen, die alle Fragen zu Maßnahmen und Kontrollen regelt. Die Ausgestaltung darf nicht den einzelnen Behörden und Gerichten überlassen werden (§ 1 Abs. 2, § 23 RDA DS-Entwurf).
II. Geräte/Software/private IT-Geräte/Dateienregister
1. Im Rahmen der Vollausstattung ist den Bediensteten die Ausstattung zur Verfügung zu stellen, die sie optimal in die Lage versetzt, ihre Aufgaben zu erfüllen. Dabei ist selbstverständlich, daß Gegenstände, die zum dienstlichen Gebrauch in den Diensträumen bestimmt sind, nicht aus diesen entfernt werden dürfen. Für Regelungen über die Benutzung in verschiedenen Diensträumen besteht kein Bedarf. Für Gegenstände, die ihrer Art nach gerade auch zum dienstlichen Gebrauch außerhalb der Diensträume bestimmt sind, wie z.B. für Laptops, muß die Genehmigung zur vorübergehenden Entfernung aus den Diensträumen als mit der Überlassung solcher Geräte als erteilt gelten. (§ 3 Abs. 3 RDA DS-Entwurf).
2. Den Erfordernissen der Rechtsprechung entspricht es, daß Richter und Richterinnen der Einsatz privater IT-Geräte auch in ihrem privaten Bereich gestattet ist. Dasselbe gilt auch für Staatsanwälte und Staatsanwältinnen. Deren Arbeitsweise bei der Fertigung von Verfügungen (z.B. Einstellungsverfügung) und Anklageschriften am häuslichen Arbeitsplatz ist derjenigen der Richter und Richterinnen vergleichbar. Eine Gleichstellung mit anderen Mitarbeitern, denen nur im Einzelfall die Nutzung privater IT-Geräte gestattet ist, entspricht nicht der Stellung der Staatsanwältinnen und Staatsanwälte. Es ist selbstverständlich, daß derjenige, der IT-Geräte am häuslichen Arbeitsplatz zu dienstlichen Zwecken nutzt, dafür verantwortlich ist, daß den Erfordernissen des Datenschutzes und der Datensicherheit Rechnung getragen wird. Eine Belehrung über die Vorgehensweise erhält jeder durch den Hinweis bzw. die Übersendung der Dienstanweisung. Für den häuslichen Arbeitsplatz ist die für die Sicherung und Verschlüsselung von Daten erforderliche und freigegebene Software den Richtern und Staatsanwälten vom Dienstherrn zur Verfügung zu stellen, wie es in Schleswig-Holstein bereits geschieht (vgl. Viefhues NJW-CoR 1999, 359 ff.). Damit sind die Erfordernisse des Datenschutzes und der Datensicherheit am häuslichen Arbeitsplatz sichergestellt. Die Anforderung weiterer Darlegungen über getroffene Maßnahmen stellt eine Dienstaufsichtsmaßnahme dar, die nur aus gegebenem Anlaß erfolgen darf. Für eine noch einschneidendere Dienstaufsichtsmaßnahme jederzeitiger Überprüfung von Datenschutzmaßnahmen am häuslichen Arbeitsplatz ohne konkreten Anlaß gibt es keine Rechtsgrundlage. (§§ 8, 13 RDA DS-Entwurf).
3. Zur optimalen Ausstattung gehört auch, daß die Entwicklung und Fortentwicklung von Programmen sowie die Anwendung besonderer Programme in Spezialfällen (z.B. Umfangsverfahren in Wirtschaftsstrafsachen) nicht behindert wird. Dies kommt insbesondere auch der Verbesserung von Arbeitsabläufen zugute. Auf Auswertungsrechnern im Bereich der Staatsanwaltschaft muß ohnehin die Software eingesetzt werden, die die zu lesenden Daten erfordern. (§ 9 RDA DS-Entwurf).
4. Das Erfordernis der Anmeldung zum Dateienregister entfällt im Hinblick auf die vorgesehene Neuregelung des DSG NRW, die ein solches nicht mehr vorsieht. Auch nach geltendem Recht dürften einzelne Schriftstücke, die eine Staatsanwältin oder ein Staatsanwalt am dienstlichen oder heimischen PC fertigen (Anklagen, Einstellungsverfügungen) nicht als Datei im Sinne von § 8 DSG NRW anzusehen sein, da die automatisierte Auswertung solcher Einzelschriftstücke nicht möglich ist. Innerhalb solcher Schriftstücke kann zwar elektronisch nach Begriffen gesucht werden, dies stellt jedoch weder ein "automatisiertes Verfahren" noch eine "Auswertung" dar.
III. System-/Anwenderbetreuer/Zutritts-/Zugangsberechtigung
1. Bei der Organisation der Systembetreuung ist sicherzustellen, daß die für die Betreuung der Netzwerke und die Unterstützung und Beratung der Anwender zuständigen Personen jederzeit, auch dann wenn sie für mehrere Behörden bestellt sind, für jeden Anwender erreichbar sind. (§§ 4, 5 RDA DS-Entwurf).
2. Zutritt zu Richter-/Staatsanwalt-PC ist nur nach Absprache mit dem Anwender zuzulassen, da Richterinnen und Richter, Staatsanwältinnen und Staatsanwälte auf ihren Geräten Daten speichern, die auch innerdienstlich besondere Anforderungen an die Vertraulichkeit stellen, etwa vorübergehend während eines Ermittlungsverfahrens oder Gerichtsverfahrens gespeicherte Entwürfe. Zu deren Sicherheit sind auf Richter-/Staatsanwalts-PC, die innerhalb von Netzwerken eingesetzt werden, geschützte Bereiche der Festplatten einzurichten, auf die nur der Anwender Zugriff hat (vgl. Viefhues a.a.O.). (§§ 10,11 RDA DS-Entwurf).
3. Über jeden Zugriff auf ein IT-Gerät an einem Arbeitsplatz ist der Anwender - möglichst vorher - zu informieren. Beim Richter-/Staatsanwalts-Arbeitsplatz darf sich dieser nicht auf den geschützten Bereich der Festplatte beziehen. Sollte dies ausnahmsweise einmal erforderlich sein, ist der Anwender vorher zu informieren. (§ 12 RDA DS-Entwurf).
IV. Datenschutzbeauftragter
1. Dem Datenschutz kommt im Rahmen der Vollausstattung eine besondere Bedeutung zu, der durch die Auswahl und Ausbildung der Datenschutzbeauftragen Rechnung zu tragen ist. Nach § 32 a Entwurf DSG NRW muß der behördliche Datenschutzbeauftragte die erforderliche Sachkenntnis besitzen und darf mit keiner Aufgabe betraut sein, deren Wahrnehmung zu Interessenkollision führen könnte. In der Dienstanweisung ist dem Rechnung zu tragen, indem regelmäßige Schulungen der Datenschutzbeauftragten und deren angemessene Freistellung insbesondere bei Bestellung für mehrere Behörden festgeschrieben werden. Die Aufgabe des Datenschutzes muß auch bei der Personalbedarfsberechnung berücksichtigt werden.
2. Der Verantwortungs- und Tätigkeitsbereich des Datenschutzbeauftragten ist unter Berücksichtigung von § 24 BDSG zu konkretisieren und es ist klarzustellen, daß sich dessen Kontrollbefugnisse nicht auf die Tätigkeiten der Richter und Staatsanwälte erstrecken, soweit diese als Organe der Rechtspflege tätig werden. (§ 6 RDA DS-Entwurf).
C. Dienstvereinbarung
Mit dem Beginn der Vollausstattung ist alsbald eine Dienstvereinbarung über die Anwendung der IT-Verfahren zu treffen. Diese ist erforderlich, um die Möglichkeiten der IT-Technik im Rahmen geltender Prozeßordnungen an den verschiedenen Arbeitsplätzen in der Justiz optimal ausschöpfen zu können und um andererseits sicherzustellen, daß die Belange der Datensicherheit und des Datenschutzes auch der Bediensteten gewahrt werden.
Dazu sind Regelungen darüber erforderlich, welche Zugriffsrechte für welche Gruppen eingerichtet werden, wie Daten- und Datenträgeraustausch stattfinden können, wer und wie über den Einsatz von DV-Programmen auf lokalen Festplatten oder Servern entscheidet und welche Zugriffe auf externe Datenbanken ermöglicht werden können.
Um möglichst umfassende Informationsmöglichkeiten zu schaffen, sind die Möglichkeiten eines Dokumentenmanagements (örtlich oder zentral) zu entwickeln und zu nutzen, die Abfrage- und Auswertungsmethoden sind in einer Dienstvereinbarung so zu regeln, daß die Grundsätze des Datenschutzes auch für die Daten der Bediensteten beachtet und die Anforderungen der richterlichen Unabhängigkeit und des Legalitätsprinzip erfüllt werden.
Für die Systembetreuung, die Anwenderbetreuung - auch über Beratungstelefone - und Wartung - auch Fernwartung - sind Vereinbarungen darüber zu treffen, welche Vorgänge protokolliert, welche Daten wie lange gespeichert werden dürfen und wie eine Auswertung zu erfolgen hat. Die Gestaltung hat sich ebenso wie in anderen Bereichen der Datenverarbeitung an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben und zu speichern (§ 4 Abs. 3 DSG NRW-Entwurf). Zu diesem Zweck ist ein Sicherheitskonzept zu erarbeiten (§ 10 Abs. 3 DSG NRW-Entwurf), welches garantiert, daß nur unbedingt notwendige Daten erfaßt, die Datenschutzbelange der Bediensteten beachtet und die Protokolle nur für technische Zwecke, nicht für Zwecke der Dienstaufsicht benutzt werden. Insbesondere ist sicherzustellen, daß sämtliche Auswertungen nur unter Beteiligung des Datenschutzbeauftragten und der Personalvertretungen stattfinden. Bei Einsatz von Proxy-Servern, insbesondere für die Nutzung externer Daten (z.B. Juris), darf der Inhalt des Datenverkehrs nicht protokolliert werden.
Strenge Anforderungen gelten insbesondere auch dann, wenn die IT-Technik für Geschäftsübersichten, Statistiken, Listen pp. genutzt werden soll. Es ist festzulegen, welche Daten für automatisierte Abfragen genutzt und welche Verfahren dabei eingesetzt werden dürfen. Durch Dienstvereinbarungen ist sicherzustellen, daß nur in unabdingbaren Fällen Daten erfaßt werden, die der Arbeit einzelner Mitarbeiter zugeordnet werden können. Sollte dies der Fall sein, so ist der Betroffene darüber unverzüglich zu unterrichten.
