Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Zahlen- Fakten - Defizite - Lösungen Bericht zur Ausstattungssituation beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (Stand: 01.12.2015) der Wahrnehmung des Amtes nicht mehr 1. Einleitung besteht. Dies ist insbesondere dann der Fall, Die Analyse der Ausstattung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) ist gerade im Zusammenhang mit der gegenwärtigen Diskussion um dieses Amtes von großer Bedeutung. Die Selbstständigkeit, mit der das Amt des wahrgenommen werden kann, hängt nicht nur von den rechtlichen Vorgaben ab, die die Unabhängigkeit des Datenschutzbeauftragten vor äußerer Einflussnahme die Durchführung insbesondere anlassfreier Prüfungen und Kontrollen durch mangelnde Ressourcen massiv ein- geschränkt wird. eine rechtliche Stärkung der Unabhängigkeit Datenschutzbeauftragten wenn schützen. Daneben gibt es eine materielle Dimension der Unabhängigkeit, die in § 22 Absatz 2 Satz 1 Hamburgisches Datenschutzgesetz Insoweit gilt es im Folgenden, die Ausstattungssituation des HmbBfDI kritisch zu analysieren. Hierbei werden sowohl qualitative als auch quantitative Aspekte in den Blick genommen. Veranschaulicht wird der folgende Bericht durch konkrete Fallbeispiele aus Sicht der zuständigen Referate der Behörde. Sie zeigen, wie langwierig und komplex die durch die Dienststelle zu bearbeitenden Verfahren sind. (HmbDSG) gesetzlich festgeschrieben ist. Danach ist dem Aufgabenerfüllung HmbBfDI notwendige die zur 2. Das Personal Personal- Die Dienststelle des HmbBfDI wurde zum und Sachausstattung zur Verfügung zu Januar 2014 neu organisiert und besteht stellen. Diese Vorschrift trägt der Tatsache seitdem aus 6 Referaten. Die vorherige Rechnung, dass ohne eine angemessene Gliederung Ausstattung eine freie Entscheidung über „Öffentlich“ und „Nicht-Öffentlich“ wurde die Art und Weise der Aufgabenerfüllung zugunsten der Datenschutzbehörde zum Schutz der effektiveren Organisation aufgegeben. Viele Grundrechte von Bürgerinnen und Bürgern datenschutzrechtliche nicht möglich ist. Fachliche Zwänge im stellen sich sowohl im öffentlichen als auch Personal- und Verwaltungshaushalt können im nicht-öffentlichen Bereich, sodass eine dazu führen, dass die Unabhängigkeit bei organisatorische HmbBfDI: Zahlen-Fakten-Defizite-Lösungen in „Verwaltung“, einer „Technik“, realitätsnäheren und Fragestellungen Zusammenfassung Seite 1 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Synergien schafft. Beispielhaft seinen hier übertragenen die Videoüberwachung oder staatliche und Euro für 2015, 71.769 Euro für 2016 nach private Krankenhäuser genannt. den PKV 2015 und 2016). Diese 6 Referate sind momentan (Stand Bei unveränderter Einnahmensituation und 31.10.2015) mit 22 Mitarbeiterinnen und bei Übertragung der prognostizierten Reste Mitarbeitern besetzt, die sich auf 18,4 sind die Deckung der Personalkosten der Vollzeitäquivalente (VZÄ) verteilen. Von befristeten Arbeitsverhältnisse noch für das diesen 18,4 VZÄ sind aber nur 15,4 VZÄ Haushaltsjahr 2016 und die Deckung der tatsächliche Planstellen beim HmbBfDI, also Personalkostenerstattungen im einschließlich Stellenplan aufgeführt und in den Resten 2017 finanziert (99.969 noch gegeben. bis Danach Personalkosten berücksichtigt. Im Zuge der müsste sich der HmbBfDI von diesen Planaufstellung Mitarbeitern des Doppelhaushalts trennen bzw. müsste 2013/2014 wurde dem HmbBfDI auferlegt, Abordnungen jährlich eine Summe von 15.000,- Euro Finanzierung nicht mehr möglich sein wird. einzusparen. wurde Die Mitarbeiter sind jedoch mit Aufgaben dadurch erreicht, dass 0,3 VZÄ aus dem betraut, die mit großer Gewissheit über das bisherigen Jahr 2016 hinaus bestehen bleiben, wie Diese Sparquote Stellenbestand gestrichen eine etwa Mitarbeiter eingespart werden konnten, sind Bearbeitung von Eingaben im Zusammen- die tatsächlichen Personalkosten gleich hang mit Löschanträgen bei der Google- geblieben, sodass der Suche. diese 15.000,- Euro jährlich aus anderen Quellen (Einnahmen, Reste) aufbringen muss. Von den Mitarbeitern Videoüberwachung da wurden. Da aber in diesem Zuge keine 0,3 HmbBfDI die beenden, die 22 sind oder Mitarbeiterinnen 5 (4,75 die und VZÄ) im 1,2 VZÄ (2 Beschäftigte) sind von anderen „Verwaltungsreferat“ beschäftigt (siehe 4.1), Dienststellen Personalkosten- sodass für die tatsächliche datenschutz- erstattung zum HmbBfDI abgeordnet. Dafür und informationsfreiheitsrechtliche Aufsicht muss der HmbBfDI jährlich 70% der Kosten und Beratung nur 17 Mitarbeiter und einer A12-Stelle und 7,5% der Kosten einer Mitarbeiterinnen (13,65 VZÄ) zu Verfügung A14-Stelle stehen. 58.290,- gegen erstatten Euro (zusammen nach rund Personalkosten- verrechnungssatz 2016 - PKV), was in den vergangenen Jahren aus 3. Die Zuständigkeiten übertragenen Resten möglich war. Darüber hinaus hat der Diese 17 Mitarbeiterinnen und Mitarbeiter HmbBfDI seit Januar 2015 1,5 auf zunächst sind 1 Jahr befristete Stellen mit der Wertigkeit Fragen für die gesamte Wirtschaft und für E13 TV-L besetzt, von denen eine (1 VZÄ) die gesamte Infrastruktur der Freien und nun um ein Jahr verlängert werden soll. Hansestadt Hamburg zuständig. Sie bilden Diese unter Stellen werden ebenfalls aus HmbBfDI: Zahlen-Fakten-Defizite-Lösungen hinsichtlich anderem datenschutzrechtlicher die datenschutz- und Seite 2 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit informationsfreiheitsrechtliche Aufsichts- haben muss, die im Rahmen ihrer Aufgaben behörde für alle Hamburger Fachbehörden, oder für die Bezirksämter, die Finanzämter, die Kunden- oder Patientendaten verarbeiten. Schulen, die Universitäten sowie für die Auch Behörden und Unternehmen die die Körperschaften, insb. die Kammern der Daten ihrer Mitarbeiterinnen und Mitarbeiter freien Berufe, Anstalten und Stiftungen der verarbeiten oder durch Dritte verarbeiten FHH. Sie sind für alle Landesbetriebe, für lassen, die gesamte Polizei, für die Feuerwehr, die Datenschutzgesetze beachten. Es dürfte Gerichte, die Staatsanwaltschaft und für das daher kaum ein in Hamburg ansässiges Landesamt Verfassungsschutz Unternehmen die Behörde für zuständig. Sie sind datenschutz- rechtliche Aufsichtsbehörde für etwa 150.000 Hamburger Unternehmen und rund 1 15.000 Handwerksbetriebe . Aus diesen globalen stechen Google die und Facebook hinsichtlich des Arbeitsaufwands wie auch der Außenwirkung hervor. Dabei sollte aber nicht aus den Augen verloren werden, dass Hamburg eine Medienstadt ist und dass noch über 9.0002 weitere Internetfirmen hier ihren Sitz haben, darunter weitere „Schwergewichte“ wie Xing oder Parship. Datenschutz findet aber auch nicht nur im Internet statt. Die Mitarbeiterinnen und Mitarbeiter des HmbBfDI beaufsichtigen außerdem die gelassenen Ärzte in Hamburg und nieder- Zahnärzte, die Krankenhäuser und Apotheken, Banken, Versicherungen, Geschäftsmodells müssen und geben, Mitarbeiterinnen HmbBfDI Bürger-, dabei eine mit Hamburgische denen und die die Mitarbeiter keine 17 des dienstlichen Berührungspunkte haben. Unternehmen Internetfirmen ihres Restaurants, Hotels, Nicht zuletzt deshalb sind im Jahr 2014 insgesamt 1.364 datenschutzrechtliche Eingaben von Bürgerinnen und Bürgern beim HmbBfDI eingegangen. Umgelegt auf die damals vorhandenen 16,9 VZÄ 3 des HmbBfDI wurden also im vergangenen Jahr etwa 80 Eingaben pro VZÄ bearbeitet. Zum Vergleich: Im Jahr 2014 sind beim Berliner Beauftragten für Datenschutz und Informationsfreiheit datenschutzrechtliche (BlnBDI) ca. Eingaben 1.200 einge- gangen. Bei einem Stellenbestand von 38 VZÄ 4 bedeutet das, dass dort rund 32 Eingaben pro VZÄ bearbeitet wurden. Beim HmbBfDI wurden im vergangenen Jahr also deutlich mehr als doppelt so viele Eingaben pro VZÄ bearbeitet, als es Gaststätten, Einkaufszentren etc.. beim Berliner Datenschutzbeauftragten Dabei bedeutet Datenschutzaufsicht aber nicht, dass Unternehmen der HmbBfDI und Behörden nur im der Fall war. solche Visier 1 Internetauftritte der Handelskammer Hamburg bzw. der Handwerkskammer Hamburg 2 „Digitaler Aufbruch“, Welt am Sonntag (Hamburg) vom 2.2.2014, Ausgabe 5, Seite 1 HmbBfDI: Zahlen-Fakten-Defizite-Lösungen 3 Einschl. Verwaltungsreferat aber ohne die befristeten 1,5 VZÄ, die erst 2015 eingerichtet wurden 4 Auskunft des BlnBDI im Rahmen einer Presseanfrage vom 18.8.2015, wobei 1 VZÄ (nämlich die Stelle des Beauftragten, da der keine Eingaben bearbeitet) abgezogen wurde. Seite 3 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Im laufenden Jahr haben den HmbBfDI Stellenplanung des HmbBfDI sowie deren bisher Verwaltung zuständig, prüft die Berichte der (Stand 31.10.2015) datenschutzrechtliche 1.312 Eingaben von JB und ermittelt und kommentiert im Bürgerinnen und Bürgern erreicht. Wenn Bedarfsfall die Kennzahlen. Die kleinen sich dieser Trend fortsetzt, werden am alltäglichen Ende des Jahres (hochgerechnet) 1.574 Vorzimmertätigkeit, Post, Verwaltung der Eingaben eingegangen sein. Dadurch Eingaben erhöht sich die Quote auf 85 Eingaben Gebäudeangelegenheiten, Beschaffung von pro VZÄ, obwohl der HmbBfDI in diesem Büromaterial, Technik sowie die Durch- Jahr 1,5 VZÄ zusätzlich zur Verfügung führung von Veranstaltungen des HmbBfDI hat dem obliegen dem Referat D1. D1 ist außerdem Hamburgischen Transparenzgesetz nicht auch die Pressestelle des Datenschutz- einmal einberechnet sind. beauftragten, koordiniert und beantwortet und die Eingaben nach Erledigungen, und Registratur, wie Miet- und die über 300 Presse- und Interviewanfragen, 4. Die Referate die den HmbBfDI pro Jahr aus dem In- und Ausland erreichen. Dazu 4.1 Referat D1: Interner Service, Presse- und Öffentlichkeitsarbeit Pressemitteilungen erstellt D1 die und organisiert die Pressekonferenz, die regelmäßig anlässlich der Veröffentlichung des Tätigkeitsberichts Das Referat D1 ist das Verwaltungsreferat Datenschutz durchgeführt wird. beim HmbBfDI, wobei diese Bezeichnung Die Gestaltung sowie die nur Internetauftritts des HmbBfDI, der nicht im unzureichend beschreibt. Ein Großteil der Rahmen von hamburg.de gelauncht ist, tatsächlichen internen Verwaltungstätigkeit, obliegen dem Referat D1 ebenso wie die wie z.B. Haushaltsplanführung, Berichter- Entwicklung, Gestaltung und Verteilung der stattung, Personalbearbeitung und Betreu- Druckerzeugnisse des HmbBfDI (Tätigkeits- ung Mit- berichte, Broschüren, Flyer). Die Antwort- arbeiterinnen und Mitarbeitern der Justiz- beiträge zu parlamentarischen Anfragen behörde (JB) durchgeführt. Das Referat D1 werden von D1 erstellt oder ihre Erstellung ist dabei das Bindeglied zu diesen Stellen wird, der Drucksachenabstimmungen, vom Referat Aufgaben des JB. des Referats Stellenplans Sämtliche wird von personalrechtlichen Planungen, Entscheidungen und Anträge laufen über das Referat D1, Stellen- beschreibungen werden ebenso von D1 erstellt wie Stellenausschreibungen. Bewerbungsverfahren werden vom Referat D1 organisiert Referat D1 ist und für durchgeführt. Das die und Budget- HmbBfDI: Zahlen-Fakten-Defizite-Lösungen ebenso wie die Pflege des die Beiträge zu D1 überwacht und koordiniert. Dadurch, dass die Landesdatenschutz- beauftragten Deutschlands den HmbBfDI zu Ihrem Vertreter auf europäischer Ebene - in der sogenannten Art. 29-Gruppe - bestimmt haben, sind dem Referat D1 zudem umfangreiche und anspruchsvolle Aufgaben im Seite 4 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Rahmen der Koordinierung und Abstim- berichte mung datenschutzrechtlicher Fragen und Hauptherausforderungen, die an die interne Aufgabenstellungen Verwaltung des HmbBfDI gestellt werden. zwischen der nationalen und der europäischer Ebene zugefallen. Insbesondere sind die turnusgemäßen Sitzungen vorzubereiten und in Brüssel anschießend aus- zuwerten. sind die zzt. absehbaren Nach hiesiger Einschätzung muss das Referat D1 mit 1,5 zusätzlichen VZÄ ausgestattet werden, um diese neuen Aufgaben bewältigen zu können, ohne dass die bisherigen Aufgabengebiete maßgeblich Zusätzlich obliegt D1 die Organisation der vernachlässigt werden. Um gleichzeitig eine Referendariate beim HmbBfDI sowie die lange weitere Aus- und Fortbildung. Das Referat Referatsleitung zu erreichen, sollte das D1 stellt darüber hinaus den Beauftragten Referat D1 mit einer Stelle der Wertigkeit für Arbeitssicherheit, zwei Ersthelfer sowie A14 den ausgestattet werden, die der Referats- stellvertretenden Geheimschutz- geplante (entspricht Aufwertung einem der Fachreferenten) beauftragten. leitung zufällt, die gleichzeitig die Stelle des Das Referat D1 besteht momentan aus 5 Pressereferenten inne hat. Die dadurch frei Personen (4,75 VZÄ), was bei gleich- gewordene A12-Stelle wäre dann für die bleibenden Aufgaben auskömmlich ist. Die Haushaltssachbearbeitung und die stell- Wertigkeit A12 vertretende Referatsleitung vorgesehen. Die (Referatsleiter und Pressereferent), A10 weitere Stelle (0,5 VZÄ) sollte die Wertigkeit (Personal, A11 haben. Der Stelleninhaber bzw. die der Stellen Organisation sind und Haushalt, stellvertretender Referatsleiter), E10 (IT und Stelleninhaberin Öffentlichkeitsarbeit, stellvertretender Pres- Organisationsaufgaben zuständig und wäre sereferent, 0,75 VZÄ), E8 (Vorzimmer), E6 Stellvertreter/-in (Post und Registratur). sachbearbeiter/in. Durch die Wertigkeiten Bei einer Stärkung der Unabhängigkeit des soll einerseits erreicht werden, dass bereits HmbBfDI werden absehbar mehr Aufgaben erfahrene Mitarbeiter und Mitarbeiterinnen auf das Referat D1 zukommen. Selbst wenn, für diese Stelle gewonnen werden können wie und dass andererseits im Referat eine klare es gegenwärtig geplant ist, das insbesondere des/der für Haushalts- Personalamt die Aufgaben im Bereich der Hierarchie Personalverwaltung übernimmt, die bisher geschaffen wird. von der JB wahrgenommen werden, sind Diese zusätzlichen Stellen würden mit den die großen Organisation, Bereiche die zur mit wäre Aufstiegsmöglichkeiten Haushalt und genannten Herstellung der 121.821,50 Euro jährlich verursachen (PKV Unabhängig in den Händen des HmbBfDI Wertigkeiten Kosten von 2016). bleiben müssen, eigenständig zu bearbeiten. Planaufstellung, -bewirtschaftung, Stellenplan, Haushalts-, VZÄ- und KennzahlenHmbBfDI: Zahlen-Fakten-Defizite-Lösungen Seite 5 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit den Melde- und weitere Behörden sowie 4.2 Referat D2: Technik Das Technikreferat ist für die technischen Fragen des insbesondere Datenschutzes, für die also Prüfung und Begleitung von IT-Verfahren zuständig. Im öffentlichen Bereich ist dabei ausdrücklich geregelt, dass der HmbBfDI Auswirkungen der Informations- und zu Nutzung den neuer Kommunikations- Bürgerinnen, Bürger und Unternehmen) auf der Basis einer sog. Spiegeldatenbank innerhalb einer gemeinsamen IT- Infrastruktur umzusetzen. In einer ersten Information werden das Zielbild der geplanten IT-Architektur, die Darstellung von Gemeinsamkeiten und Unterschieden der Länder sowie der Terminplan übermittelt. techniken in Bezug auf den Datenschutz Eine Stellung Behörden, Projekt ergab sich dadurch, dass die Unternehmen und weitere Stellen in diesen Rechtsgrundlagen noch nicht vollständig Fragen vorlagen, in denen technische Maßnahmen nehmen sowie beraten soll. Diese Aufgaben zum obliegen in erster Linie dem Referat D2. Derzeit verfügt das Referat D2 über 3 Mitarbeiter und eine Mitarbeiterin bei 2,4 VZÄ. Von diesen VZÄ fallen ab 2017 0,5 weg, da es sich um die oben genannte befristete Stelle handelt, deren Befristung nicht verlängert wird (siehe 1.). Zusätzlich stellt das Referat Datenschutzbeauftragte, die behördliche einen der erhöhte IT- Beauftragten des HmbBfDI und den ITSicherheitsbeauftragten. Schutz Schwierigkeit der in sensiblen diesem personen- bezogenen Daten festgeschrieben werden sollten. Diese gesetzlichen Vorgaben galt es mit den juristischen Kollegen des Referats D4 abzustimmen und gegenüber dem Projekt zu verdeutlichen, durch welche technischen und organisatorischen Maßnahmen sie realisiert werden könnten. Zusätzlich war – neben den notwendigen Abstimmungen mit der datenverarbeitenden Stelle – der stetige Informations- und Meinungsaustausch unter den drei Die Aufgaben des Referats D2 sind in der beteiligten Landesdatenschutzbeauftragten Regel technisch komplex und oft auch erforderlich, durch länderübergreifende Abstimmungs- länderübergreifenden verfahren geprägt. Ein typisches Beispiel einheitlichen dafür ist das Verfahren zum „Zentralen Anforderungen und zu einer einheitlichen Meldebestand“: Bewertung des Verfahrens zu kommen. Im Juni 2014 wird der HmbBfDI darüber Ein informiert, dass die Bundesländer Hamburg, länderübergreifenden Schleswig-Holstein bereits im Rahmen der Vorabkontrolle zu und Sachsen-Anhalt weiterer da das Ziel ist, Projekten bei zu datenschutzrechtlichen zentraler Punkt Projekten ist bei es, beabsichtigen, die Anforderungen aus dem klären, neuen für organisatorischen Maßnahmen die strikte Suchanfragen von bzw. Auskünften an die Trennung der Daten der beteiligten Länder Polizei und anderen Sicherheitsbehörden, gewährleistet wird. Die Anforderungen dafür HmbBfDI: Zahlen-Fakten-Defizite-Lösungen Seite 6 Meldegesetz (speziell durch welche technischen und Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit haben die Datenschutzbeauftragten des Gerade bei komplexen Verfahren ist es Bundes und der Länder zwar in einer erklärtes Orientierungshilfe den Echtbetrieb einer technischen Prüfung zu datenverarbeitenden Stellen liegen aber unterziehen. Beim IT-Verfahren Zentraler bisher noch zu wenige Erfahrungen damit Meldebestand ist verabredet, diese Prüfung vor, gemeinsam mit den anderen beteiligten so beschrieben, dass es bei regelmäßig zu Abstimmungen und Nachfragen kommt. Trotz vorliegender bedurfte es Zentraler also Orientierungshilfe auch Meldebestand Gesprächstermine, Projekt mehrerer bis datenschutzrechtlichen die beim die Anforderungen Realisierungskonzepte in eingeflossen sind. Dabei waren die zugrundeliegenden Unterlagen, die vom Referat D2 studiert werden mussten, sehr umfangreich. Allein das wichtigste technische Dokument, das dem HmbBfDI als Gesprächsgrundlage vom Projekt vorab zur Verfügung gestellt wurde, umfasst mehr als 250 Seiten. Dazu wurden dem HmbBfDI weitere 140 Dateien mit einem Datenvolumen von über 35 MB Dokumente übermittelt, in denen die technischen Details beschrieben sind. Nach erfolgreicher Vorabkontrolle der Einführungsphase regelhaft weitere im Rahmen der vorlaufenden Tests und der Freigabe nicht erkannte Schwierigkeiten die zu Rückfragen und Klärungsprozessen mit dem Projekt führen. Diese Aspekte werden sowohl von den datenverarbeitenden Stellen, das IT-Verfahren im Datenschutzbeauftragten durchzuführen. Bereits im Frühjahr 2013 wurde eine Defizitliste der Tätigkeiten erstellt, die bereits im (damaligen) Referat D2 aufgrund der zu geringen personellen Kapazitäten nicht oder nicht wahrgenommen werden ausreichend können. Diese Tätigkeiten sind bei der Umstrukturierung nicht ebenso aufgeteilt worden wie das Personal, sondern sind fast vollständig beim neuen Referat D2 verblieben. So werden dem Referat D2 beispielsweise umfangreiche technische Unterlagen (Leistungsbeschreibungen bei Ausschreibung, Realisierungskonzepte usw.) zur Beratung und Beurteilung von Großprojekten, wie z.B. JUS-IT oder eJustiz, übersandt. Aufgrund des hohen Zeitdrucks, und Produktivsetzung des Verfahrens werden in offenbar, Ziel, von unter dem die Projekte stehen, ergeht regelmäßig die Rückäußerung. Bitte Um um dieser kurzfristige berechtigten Bitte nachzugehen und da die dafür zur Verfügung stehenden Kapazitäten gering sind, unterbleibt Durchdringung Insbesondere Verfahren der bei wie häufig die jeweiligen intensive Materie. länderübergreifenden z.B. „Zentraler Mitarbeitern der Anwender oder auch von Meldebestand“, „Community Cloud Mail betroffenen Bürgerinnen und Bürgern an Service“, „TKÜ-Zentrum Nord“ wäre eine das Referat D2 herangetragen und müssen kurzfristig aufbereitet werden. HmbBfDI: Zahlen-Fakten-Defizite-Lösungen intensivere Abstimmung mit den Beteiligten erforderlich, um Datenschutzanforderungen Seite 7 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit rechtzeitig in den Projektablauf einbringen Hintergründe und Zusammenhänge können zu können. fundierte Um auch dem Anspruch des HmbBfDI Bewertungen nur schwer vorgenommen werden. gerecht zu werden, nicht nur Probleme Die Aufgabe der Vorabkontrolle ist mit aufzuzeigen und vorgelegte Konzepte aus Bestellung der behördlichen Datenschutz- datenschutzrechtlicher Sicht zu kritisieren, beauftragten sondern vielmehr Wege aufzuzeigen, wie diese übertragen. Die behDSB sind aber eine fast ausschließlich rechtlich vorgebildet. datenschutzfreundliche aussehen könnte, Lösung müssten die Mit- Technischer (behDSB) weitgehend Sachverstand kaum keit projekt- wenden sie sich mit Risikoanalysen, die von datenschutzfreundlichen den Daten verarbeitenden Stellen bei der Lösungsmöglichkeiten haben. Die Rolle Vorabkontrolle zu erstellen sind, an das des Gestalters würde jedoch deutlich mehr Referat D2 und bitten um Unterstützung Kapazität erfordern als zur Verfügung steht. und Stellungnahme zu den technischen Eine und Ausführungen. Da wir in solche Projekte eigenen dann nur punktuell und nicht kontinuierlich Datenschutz-IT-Labors zur Bewertung und eingebunden sind, erhöht sich der Aufwand Prüfung von IT-Lösungen (Hardware und für die einzelne Beantwortung der an uns Software) unterbleibt. In diesem Zusam- herangetragenen Fragestellungen. Abhilfe menhang würde Entwicklung spezifischen kontinuierliche von Nutzung Weiterentwicklung des macht sich die mangelnde ggf. Aus regelhaft arbeiterinnen und Mitarbeiter die Möglichzur vorhanden. ist auf die Grund Erstellung von Möglichkeit zur technischen Fortbildung Arbeitshilfen bemerkbar, Stellen und für behördliche Datenschutz- die aufgrund der Arbeits- für diesem datenverarbeitende belastung faktisch nicht besteht. Dabei wäre beauftragte sie zur kenntnisreichen Beratung bzw. zur geraumer effektiven IT-Projekten flächendeckenden Bestellung der behDSB Monolithische hatte das Referat D2 das Ziel, die behDSB Lösungen wie früher gibt es nicht mehr, durch die Erarbeitung von Arbeitshilfen heute (Checklisten etc.), die die spezifischen Aufsicht zwingend von erforderlich. sind alle Ebenen vernetzt. schaffen, Zeit die geplant seit Nach der ist. Anwendungen sind für alle Plattformen Gegebenheiten erreichbar, damit muss das Wissen zur Hamburgischen Verwaltung berücksichtigen, Einschätzung der Wirkung von technischen zu Maßnahmen sehr breit angelegt sein. Aber Arbeitsergebnisse, Stellungnahmen etc., die auch eine rechtliche Fortbildung wäre, für Einzelfälle erstellt wurden, so aufbereitet gerade werden, vor dem Hintergrund neuer der bereits unterstützen. dass die IT Dafür in der sollten verallgemeinerbare datenschutzrechtlicher Regelungen, auch Information allen behDSB zur Verfügung für den technischen Bereich notwendig. gestellt werden könnte. Trotz mehrfacher Ohne Kenntnis der rechtlichen Grundlagen, Anläufe mussten wir HmbBfDI: Zahlen-Fakten-Defizite-Lösungen dieses Vorhaben Seite 8 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit abbrechen, da die Zeit für die erforderliche Umfang bzw. im nicht-öffentlichen Bereich Aufbereitung fehlt. quasi gar nicht mehr stattfinden. Damit die entfällt die präventive Wirkung solcher behDSB Prüfungen für andere Daten verarbeitende Dadurch der Informationen unterbleibt Informationsweitergabe hinsichtlich an technisch-organisatorischer Themen, obwohl gerade in diesem Bereich ein hoher Bedarf besteht. Dies gilt leider auch für unsere Mitwirkung bei der Erstellung von gemeinsamen Arbeitshilfen der Datenschutzbeauftragten des Bundes und der Länder. Der Arbeitskreis Stellen. Die Aufgabenwahrnehmung ist nur durch die zusätzliche Bewilligung von 2 VZÄ der Wertigkeit A13 (hD) gewährleistet ist. Daraus entstehen jährliche Kosten von 158.010,- Euro (2 x 79.005,- nach PKV 2016). Technik der Datenschutzbeauftragten des Bundes und der Länder hat bereits zahlreiche Orientierungshilfen erstellt und sich dabei auch Bewertungsmaßstäbe auf einheitliche verständigt. Auch wenn dabei arbeitsteilig vorgegangen wird, setzt dieser Ansatz voraus, dass auch wir uns an den Arbeitsgruppen beteiligen. Die Mitarbeit bei der Erstellung solcher Orientierungshilfen bindet aber so viele Kapazitäten, dass wir in den letzten Jahren immer signalisieren mussten, dass sich der 4.3 Referat D3: Informationsfreiheit und Videoüberwachung Das Referat D3 besteht aus 1,7 VZÄ. Der Referatsleiter ist gleichzeitig der Geheimschutzbeauftrage des HmbBfDI. Besonders prekär ist die Situation im Referat D3 deshalb, weil 0,7 VZÄ davon durch von anderer Stelle abgeordnetes Personal eingebracht werden. Wie bereits unter Nr. 1 dargelegt, ist die Personal- HmbBfDI nicht einbringen kann. kostenerstattung voraussichtlich nur noch Auch kommt es zu einer Vernachlässigung von Infrastrukturthemen, da die personelle Unterbesetzung im technischen Bereich ausschließlich zu einer anlassbezogenen Reaktion in Datenschutzfragen führt, die dann auch nur noch oberflächlich Grundsätzliche geklärt werden können. Infrastrukturthemen mit Auswirkungen für alle Bereiche werden wegen des damit verbundenen Aufwandes nicht in ausreichendem Maße angegangen. Gleiches gilt für anlassfreie Prüfungen im öffentlichen und nicht-öffentlichen bis einschließlich 2017 möglich. Das Referat übt freiheitsrechtliche die informations- Aufsicht über alle Hamburgischen Behörden im Sinne des § 2 Absatz 3 Hamburgisches Transparenz- gesetz aus. Dabei ist zu beobachten, dass das relativ neue Institut der Informationsfreiheit mehr und mehr ins Bewusstsein der Bürgerinnen und Bürger rückt. So ist die Zahl der Beschwerden beim Hamburgischen darüber, Datenschutzbeauftragten dass Auskunftspflicht nicht Behörden oder ihrer nicht aus- Bereich, die nur in einem sehr geringen HmbBfDI: Zahlen-Fakten-Defizite-Lösungen Seite 9 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit reichend nachgekommen vergangenen Jahren sind, stetig in den gestiegen Verfolgung von Ordnungswidrigkeiten ist so praktisch nie möglich. Erscheinen wir (haben uns z.B. im Jahre 2011 insgesamt hingegen ohne Ankündigung, so erhalten 23 solcher Beschwerden erreicht, sind es in wir nahezu ausnahmslos die Antwort, dass diesem Jahr bis Mitte November bereits die einzige Person mit Zugriffsberechtigung knapp auf 80 Beschwerden und 37 Auskunftsersuchen an den HmbBfDI). datenschutzrechtlichen Belange bei der mittlerweile zuständig, die finden kann. überall man Im Folgenden wird zur Veranschaulichung ein konkretes Verfahren beschrieben, das (leider) typisch ist. Die darin aufgezeigten Probleme der System Geschäftsführer) Zusätzlich ist das Referat D3 für die Videoüberwachung das Sachverhaltsaufklärung zeigen sich so oder so ähnlich in nahezu jedem Verfahren zur Videoüberwachung im (in der Regel: momentan nicht anwesend ist und auch nicht geholt werden kann. Den zeitlichen Aufwand ergebnisloser Anreisen können wir uns nicht leisten, weshalb wir praktisch Fragebögen zurückgreifen denen verantwortliche die immer auf müssen, in Stelle ihr Fehlverhalten selbst angeben müsste. Die Nichtbeantwortung unserer Fragen stellt eine Ordnungswidrigkeit dar, die Verhängung eines Bußgeldes ist jedoch zeitintensiv und führt vor allem nicht zur nicht-öffentlichen Bereich: Beantwortung der offenen Fragen. Dadurch Am 9.4.2014 geht eine Anzeige/Anfrage wegen der Videoüberwachung in einem Restaurant beim HmbBfDI ein. Videoüberwachung in der Gastronomie ist einer unserer Tätigkeitsschwerpunkte aufgrund der Vielzahl von Beschwerden. Wir beantworten die Eingabe am 15.4.2014 kurz und verweisen auf die nun anstehende Sachverhaltsaufklärung, Videoüberwachungen wobei immer wir vor bei dem gleichen Problem stehen: Für eine fundierte rechtliche Beurteilung ist die Frage entscheidend, was die Kameras zeigen. Dies können wir ohne Zugriff auf das System nicht klären. Kündigen wir unseren Besuch vor Ort an, geben wir der datenverarbeitenden Stelle die Möglichkeit, die Verhältnisse schnell (im schlimmsten Fall sogar nur für die Zeit unseres Besuchs) gesetzeskonform zu machen. Die HmbBfDI: Zahlen-Fakten-Defizite-Lösungen wird der datenschutzrechtswidrige Zustand nicht beseitigt. Wir geben daher in aller Regel mehrere Möglichkeiten, bevor wir ein Owi-Verfahren einleiten. In diesem Fall verschickten wir unseren Fragebogen am 16.4.2014 an den Betreiber des Restaurants. Es erfolgt keine Reaktion. Am 19.5.2014 versendeten wir den Fragebogen erneut. Es erfolgt wieder keine Reaktion. Daraufhin leiteten wir ein OwiVerfahren wegen unterbliebener Auskunft ein und verschickten am 23.6.2014 ein Anhörungsschreiben wegen des Vorwurfs einer Ordnungswidrigkeit. Die Zustellung des Anhörungsschreibens scheiterte. Auf telefonische Nachfrage erfuhren wir am 8.7.2014 von einem Betreiberwechsel. Am 8.7.2014 versendeten wir den ursprünglichen Fragebogen an die neue Seite 10 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Inhaberin. Es erfolgte keine Reaktion. Am Am 9.4.2015 meldete sich der Petent erneut 7.8.2014 versendeten wir den Fragebogen und erneut. Es erfolgte wieder keine Reaktion. Ergebnislosigkeit. Er verlangte eine Antwort Am 1.9.2014 leiteten wir ein erneutes Owi- auf die Frage, warum wir bislang noch Verfahren ein und verschickten dazu das nichts erreicht hatten. Am 20.4.2015 wurde Anhörungsschreiben. Gleichzeitig dem Petenten ausführlich geantwortet. Am unterrichteten wir den Petenten davon, dass 22.4.2015 wurde die Verantwortliche mit wir nach fünf Monaten noch nichts erreicht einem hatten. die herangezogen. Am 4.6.2015 ging eine Beschuldigte telefonisch erreicht werden. lückenhafte Auskunft ohne Datumsangabe Sie und oder Unterschrift beim HmbBfDI ein. Auf der rechtlicher Grundlage dieser Informationen teilten wir Erwägungen. Ihr konnte aber die Zusage der Verantwortlichen mit Schreiben vom abgerungen werden, sich schriftlich zu den 2.7.2015 mit, dass die VÜ in dieser Form Fragen rechtswidrig Am 22.9.2014 zeigte sich argumentierte zu uneinsichtig außerhalb äußern, konnte dazu verwies sie gratulierte ironisch zur Verwaltungsakt sei und bisherigen zur Auskunft erklärten, welche allerdings auf ihre Geschäftsführerin. Am Änderungen wir für erforderlich halten. 23.9.2014 meldete sich die Geschäfts- Darauf führerin und bat um Nachsicht. Sie wolle Schreiben vom 19.8.2015 wiederholten wir den Fragebogen beantworten, habe ihn unseren Vorhalt und gaben eine letzte aber im Rahmen eines Umzugs verloren. Möglichkeit zur Vermeidung des Erlasses Sie versicherte nachdrücklich, dass sie die einer Fragen sehr zeitnah beantworten werde. Bis zum Ablauf der Frist am 4.9.2015 Am 25.9.2014 wurden die Fragen erneut erfolgte keine Reaktion. 17 Monate nach übersandt. Es erfolgte keine Antwort. Eingang der Eingabe konnten nun endlich Am 29.10.2014 wurde ein weiteres Owi- aufsichtsbehördliche Maßnahmen ergriffen Verfahren gegen die Inhaberin eingeleitet werden. Die Verzögerung ist das Resultat und Anhörungs- einer strategischen Zurückhaltung bei der schreiben übersandt. Es erfolgte keine Einleitung förmlicher Verfahren, weil diese Reaktion, von der Möglichkeit der Anhörung zeitintensiv sind und dies vom Referat nicht wurde kein Gebrauch gemacht. Im Rahmen geleistet des Owi-Verfahrens wurde am 4.12.2014 angemessenen ein (verhältnismäßig hohes) Bußgeld von des 1.500,- € für die Nichtbeantwortung der bereits sehr viel früher eingeleitet worden Fragebögen verhängt. Die Einspruchsfrist und verstrich, die Geldbuße wurde eingetrieben, Beschuldigten hätte sich nicht ausgezahlt. es wurde aber weiter keine Auskunft erteilt. Aus dem personellen Mangel ergibt sich bei Daher der Videoüberwachung auch ein erheblicher ein entsprechendes musste nun ein Auskunfts- heranziehungsbescheid erlassen werden. HmbBfDI: Zahlen-Fakten-Defizite-Lösungen erfolgte keine Reaktion. verwaltungsrechtlichen werden Referats die kann. personellen wären Mit Anordnung. Bei einer Ausstattung derartige Schritte Verzögerungstaktik der Mangel an Verfolgungsgerechtigkeit. Bei Seite 11 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit praktisch jeder anlassbezogenen Kontrolle können und keine Produkte erwerben, die werden dem HmbBfDI Dutzende andere sie hinterher nicht einsetzen können. Die Stellen mit dem Hinweis „Die machen das abschlägigen Antworten des HmbBfDI, die doch Hinweise ausschließlich wegen fehlender personeller treffen in aller Regel auch zu. Bürgerinnen Ressourcen erfolgen, sorgen vor allem und Bürger sind über den Mangel an Schutz dann für Ärger, wenn die Unternehmen in ihrer der auch!“ genannt. Grundrechte Kontrolle Diese empört, betroffene von einer Unternehmen Folge aufgrund von Beschwerden sind geprüft und ggf. sogar beanstandet werden. darüber empört, dass ausgerechnet sie Beratungen im Vorfeld könnten helfen, das kontrolliert ihrer Beschwerdeaufkommen zu senken und Diese würden die Zufriedenheit der Betroffenen werden, Konkurrenz der Großteil hingegen nicht. Beschwerden sind berechtigt, der HmbBfDI kann ihnen aber nicht abhelfen. Dem Wildwuchs an Kameras kann mit dem jetzigen Personal nicht entgegengetreten werden und es Möglichkeiten, fehlen mit auch die technischer Unterstützung ein System zu analysieren und die Aussagen der verantwortlichen Stelle kritisch zu hinterfragen. Dies könnte nur in Ausnahmefällen erfolgen. Eine regelmäßige Kontrolle von Aussagen, die eine klare Entlastungsmotivation haben, kann im Gegensatz zu Aufsichtsbehörden in anderen Bereichen nicht erfolgen. stärken. Beobachtungen geben beispielsweise Anlass für eine gründliche Prüfung des gesamten Bereichs der Video- überwachung in Apotheken. Daten über den Einkauf von Medikamenten, insbesondere deren Art, Häufigkeit des Einkaufs, Veränderungen in der Medikation usw. stellen sensible Gesundheitsdaten dar. Gleichzeitig werden zahlreiche Apotheken videoüberwacht und die Beratung findet häufig am Tresen in direkter Anwesenheit anderer Kunden statt. Eine grundlegende Überprüfung am besten in Kooperation mit Die Situation würde sich eventuell schon der dadurch entspannen, wenn Beratungen im angezeigt, Bereich Videoüberwachung für Unter- umzusetzen. Gleiches nehmen angeboten werden könnten. Immer Auswertung der wieder wenden sich Unternehmen mit der überwachung. Im Zuge des Neuerlasses Bitte um Beratung an den HmbBfDI. Dabei von § 30 HmbDSG (VÜ durch öffentliche handelt um Stellen) hat der HmbBfDI alle öffentlichen Bereich Stellen, also Polizei, Schulen, JVAs usw., es Unternehmen sich in aus „Sicherheitstechnik“, erster Linie dem aber nicht aus- Apothekerkammer abgefragt schließlich. Sie haben sowohl Fragen zu sämtlichen konkreten Systemen als auch Bitten um zusenden eine generelle Fortbildung, damit sie ihre personellen ist wäre aber und momentan gilt öffentlichen sich dringend nicht für die Video- Informationen zu Videoüberwachungsanlagen lassen. Leider Kapazitäten reichen nicht für die eine Kunden technisch und rechtlich beraten HmbBfDI: Zahlen-Fakten-Defizite-Lösungen Seite 12 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Überprüfung. Die Unterlagen werden zum aber leider nicht mehr angeboten werden. Teil ungesichtet gelagert. Dies ist besonders bedauerlich, da dadurch Referats zahlreiche Probleme aus den Behörden an wirken sich dabei nicht nur auf den Bereich den HmbBfDI herangetragen wurden und der Videoüberwachung aus, sondern führen gleichzeitig auch Behörden abgesenkt wurde, sich an den Die Kapazitätsprobleme zu Mängeln des im Bereich der die Hemmschwelle für die HmbBfDI zu wenden und sich beraten zu Informationsfreiheit. lassen. Beim Transparenzportal wäre beispielsweise, auch unabhängig von konkreten Bürgerbeschwerden, eine gründliche Überprüfung sämtlicher Unternehmen und ihrer Veröffentlichungspraxis angezeigt. Schon eine oberflächliche Sichtung zeigt auf den ersten Blick, dass die nach § 2 Abs. 3 HmbTG zur Veröffentlichung Vor diesem Hintergrund ist es zwingend erforderlich, dass die bisherige Abordnung fest in den Stellenbestand des HmbBfDI überführt wird, d.h. dass eine Stelle der Wertigkeit A12 geschaffen wird. Zusätzlich müsste das Referat mit einer A13-Stelle (hD) ausgestattet werden. verpflichteten Unternehmen nur verhältnis- Diese mäßig wenige Unterlagen veröffentlichen. Personalkosten von 152.860,- Euro pro Eine Überprüfung wurde vom HmbBfDI Jahr (PKV 2016). 2 VZÄ verursachen zusammen bislang nur bei der Hamburger Hochbahn Nachbereitung waren jedoch zu zeitintensiv, 4.4 Referat D4: Sicherheit, Demokratie und Daseinsvorsorge als dass man dies regelmäßig wiederholen Das Referat D4 ist aus dem ehemaligen könnte, alle „Referat Datenschutzrecht“ hervorgegangen durchführen und ist daher noch immer das Fachreferat AG unternommen. Die Besprechung war für alle Beteiligten geschweige betroffenen könnte. hilfreich, denn Unternehmen Auch im Vor- für Bereich und des beim HmbBfDI, das hauptsächlich im Transparenzgesetzes wären Beratungen, öffentlichen Bereich tätig ist und in erster Informationen und Schulungen sicherlich Linie die datenschutzrechtliche Aufsicht hilfreich. Zwar hat das Umsetzungsprojekt über die Hamburger Behörden nach dem zahlreiche Schulungen durchgeführt, aber Hamburgischen Datenschutzgesetz ausübt. diese bezogen sich ausschließlich auf den Dabei ist das Referat für so unterschiedliche Workflow Veröffentlichungs- Bereiche wie Gesundheit, Soziales, Schulen gegenstände. Es gibt daneben in den und Hochschulen, Verkehr („Smart City“), Behörden auch zahlreiche Fragen zum Innere Sicherheit und Justiz zuständig. Das Auskunftsverfahren. Aufgrund der gestie- Referat genen Eingabenzahlen im Bereich der Mitarbeiterinnen und Mitarbeitern (bei 3,1 „Informationsfreiheit“ können Fortbildungs- VZÄ, eine Mitarbeiterin ist nur noch mit 0,1 und die D4 spiegelt mit seinen 4 veranstaltungen im ZAF zum HmbTG HmbBfDI: Zahlen-Fakten-Defizite-Lösungen Seite 13 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit VZÄ im Referat D4 tätig, ansonsten im verarbeitet Referat Erweiterung D6) also fast die gesamte werden. Hinzu des kommt die auszuwertenden Hamburger Verwaltung einschl. der Polizei Datenmaterials wider. übergreifende Informationen Arbeitnehmer- hinzugezogen werden sollen, z.B. von datenschutz und die Videoüberwachung, Hausärzten, Fachärzten, Krankenhäusern, sind in andere Referate verlagert worden. aber auch von der Krankenversicherung, Ein Rentenversicherung und dem Krebsregister. Nur Themen, bestimmte wie großes z.B. der „Überwachungsobjekt“ des Referats D4 ist das Universitätsklinikums Hamburg-Eppendorf (UKE), mit dem der HmbBfDI allein schon für ein einziges Forschungsvorhaben über einen Zeitraum von mehr als zwei Jahren in Kontakt stand, um die datenschutzrechtliche Planung der Hamburg City Health Studie zu begleiten. Bei dieser Studie handelt es sich um eine Beobachtungsstudie, durch die ein besseres Verständnis über Häufigkeiten, Ursachen und Verlauf von Erkrankungen erlangt werden soll. Zu diesem Zweck sollen rund 45.000 Hamburgerinnen und Hamburger im Alter von 45 bis 74 Jahren untersucht werden, um Risikofaktoren für die häufigsten Volksleiden (Herz-KreislaufErkrankungen, Schlaganfall, Demenz und Krebserkrankungen) und Todesursachen zu identifizieren. Die Studie wird umfassend von fast 30 Kliniken und Instituten des UKE einschließlich Herzzentrums des und Universitären der Martini-Klinik durchgeführt. Neben einer Vielzahl von medizinischen Untersuchungen gehören zu diesem Forschungsvorhaben auch die genetischen Untersuchungen von Blut bzw. sonstigem Biomaterial sowie deren Sammlung in einer Biomaterialbank. Über mehrere Jahre und Jahrzehnte hinweg sollen hier personenbezogene dadurch, auch von dass dritter Seite In diesem Zusammenhang kooperiert das UKE auch mit weiteren Partnern, sodass die Daten ggf. auch international verarbeitet werden. Die Begleitung beinhaltet Betrachtung datenschutzrechtliche der verarbeitungsschritte eine detaillierte einzelnen Daten- von Daten- der erhebung über die Speicherung bis hin zur Nutzung bzw. Übermittlung an andere Stellen. Kern der datenschutzrechtlichen Sicherung personenbezogener Daten ist ein umfangreiches und weit verzweigtes Pseudonymisierungsverfahren, das seinerseits technisch unterstützt ist. Hier muss sichergestellt sein, dass die Forscher auf der Grundlage einer wirksamen Einwilligung zwar die erforderlichen Daten nutzen können; die jeweilige konkrete Person des Studienteilnehmers ist jedoch für die Forschungstätigkeit nicht von Bedeutung, so dass hier mittels Pseudonymisierung die Kenntnis von Namen und sonstigen direkt identifizierenden Informationen der Studienteilnehmer Nach ausgeschlossen über zwei sein Jahren muss. intensiver Auseinandersetzung mit dem UKE konnte letztlich ein werden, rechtlichen das Studiendesign einerseits Anforderungen entwickelt datenschutz- genügt und Daten HmbBfDI: Zahlen-Fakten-Defizite-Lösungen Seite 14 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit andererseits auch die Forschungs- solche nicht ungewöhnlichen Verfahren werden über lange Zeiträume Arbeitskräfte gebunden, die naturgemäß an anderer Stelle fehlen. So etwa zwei Jahre, nicht überschreiten darf – zu wiederholen ist, interessen hinreichend berücksichtigt. Durch Höchstmaß, plant beispielsweise das UKE bereits seit einigen dauert weiterhin an und geht bereits jetzt weit über April 2015 hinaus. Es müsste also bereits eine Wiederholungsprüfung stattfinden, obwohl die erste Prüfung noch gar nicht abgeschlossen ist. Monaten ein sogenanntes Zuweiserportal, Auch eine Prüfung des Statistikamtes mit dessen Hilfe medizinische Daten der Nord ist schon lange dringend geboten. Patienten dem Zuweiser zur Verfügung Grund gestellt sollen. Die dem HmbBfDI bereits Datenmenge, die dort verarbeitet wird. längere Unterlagen Damit der HmbBfDI von der Einhaltung der konnten aber aus Kapazitätsgründen bisher speziellen statistikrechtlichen Datenschutz- nicht weiter geprüft werden. vorschriften Zeit vorliegenden Auch die Überprüfung der in Hamburg bestehenden Bio-/Datenbanken, also die in Bio-/Datenbanken gesammelten in Krankenhäusern Gesundheitsdaten, wurde hierfür ist die überzeugt enorm ist, große bedarf es insoweit dringend einer entsprechenden Kontrollprüfung, was jedoch derzeit nicht durchführbar ist. Diese und weitere Defizite müssen behoben wegen fehlender Kapazitäten bereits seit werden, Jahren stetig vertagt. Bio-/Datenbanken zusätzlichen VZÄ ausgestattet wird. Dies bilden oftmals über Jahre hinweg ein umfasst einen Referenten/eine Referentin gesundheitliches Profil des Betroffenen ab. (1 Hinzu bearbeiter/eine Sachbearbeiterin (0,5 VZÄ kommt, dass die gesammelten indem VZÄ A13 Diese das (hD)) Referat und Wertigkeiten mit ein 1,5 Sach- Bioproben meistens dazu geeignet sind, A12). verursachen das gesamte Genom des Betroffenen und Personalkosten von 115.932,50 Euro pro damit einen unveränderlichen Teil seiner Jahr (PKV 2016). Identität zu entschlüsseln. Kommt es bei Datenschutzverletzungen, z.B. durch den 4.5 Referat D5: Wirtschaft und Finanzen Zugriff Unbefugter auf die Daten und das Das genetische Material, dürfte es für den Umstrukturierung Forschungsstandort nach § 38 BDSG“ und weitestgehend allein dem Betrieb einer Bio-/Datenbank Hamburg zu extrem negative Auswirkungen haben. Die (erste) Prüfung der Antiterrordatei, die laut Urteil des Bundesverfassungsgerichts vom 24.04.2013 in angemessenen Abständen - deren Dauer ein gewisses Referat verantwortlich für D5 war die „Aufsichtsbehörde den bis zur nicht-öffentlichen Bereich. Viele Aufgabenbereiche aus dieser Zeit sind erhalten geblieben, sodass D5 u.a. für Banken, Versicherungen, Werbung, Handel (einschl. Onlinehandel), Industrie, Gewerkschaften und Vereine zuständig ist. HmbBfDI: Zahlen-Fakten-Defizite-Lösungen Seite 15 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Dafür stehen dem Referat gegenwärtig 5 erörtert. Hinzu kamen zahlreiche Telefonate Mitarbeiterinnen mit den Unternehmensvertretern. Ein erster und Mitarbeiter mit zusammen 3,3 VZÄ zur Verfügung (wovon persönlicher 0,5 VZÄ von anderen Dienststellen zum Dienststelle HmbBfDI abgeordnetes Personal ist). vertretern fand dann Anfang 2014 statt. Das Das Referat D5 ist u.a. für einen großen Hamburger zuständig. HmbBfDI Versandhandelskonzern Mitte 2013 erreichten Beschwerden über den die Übermittlung von Kundendaten innerhalb dieses Konzerns. begannen wir Aus diesem eine konzerninternen Anlass Prüfung Austauschs des von Neukundendaten und stellten fest, dass daran 11 Unternehmen mit insgesamt 33 Dateien beteiligt waren. Die jeweiligen Übermittlungen entsprachen zwar einem von den Unternehmen festgelegten Muster, dieses war jedoch nicht datenschutzgerecht und ließ insbesondere die in derartigen Fällen maßgeblichen Auskunfteien- vorschriften außer Acht. In der Folge wurden insgesamt 13 Schreiben an das Unternehmen und deren Anwälte verfasst, auf die wir ebenso viele, teilweise 2030seitige rechtlichen Antworten mit Erörterungen ausführlichen erhielten. Das Unternehmen weigerte sich lange Zeit, die datenschutzrechtlich notwendigen Ver- änderungen an dem System einzuführen und versuchte, durch intensive Rechtsausführungen den Status Quo zu sichern. Gesprächstermin mit den unserer Unternehmens- von uns dabei gefertigte Protokoll musste anschließend eingehend zwischen allen Beteiligten abgestimmt werden. Erst nach dieser Sitzung konnte angesichts der komplizierten Ausgestaltung der gegenseitigen Datenübermittlungen ein umfassender Sachverhalt erarbeitet werden, woran 4 Bearbeiter beteiligt waren und der innerhalb der Dienststelle mehrfach besprochen werden musste. Im Anschluss daran erfolgte eine nicht ganz konfliktfreie Abstimmung mit den Unternehmens- vertretern. Nach Feststellung des Sachverhalts folgte eine 29-seitige rechtliche Bewertung der übermittlungen einzelnen in undurchschaubaren Daten- diesem System, recht an der wiederum 4 Bearbeiter beteiligt waren. Nachdem diese dem Unternehmen zur Verfügung gestellt worden war, folgten wieder wechselseitige Erörterungen. weitere rechtliche Anschließend Aufsichtsbehörden wurden 5 eingebunden, die unmittelbar beteiligt waren, weil an dem System angeschlossene Unternehmen auch in den Bundesländern Aufsichtsbehörden und in dieser Österreich ansässig sind. Der Sachverhalt und unsere rechtliche Bewertung wurden zur Verfügung Intern wurden die rechtlich schwierigen gestellt und ein 2-tägiger Termin vereinbart, Fragen insgesamt in 8 Sitzungen mit in dem zunächst die Aufsichtsbehörden an mindestens 2, oft aber 4 Teilnehmern einem Tag ihre Auffassung abstimmten und (einschließlich am des HmbBfDI), intensiv HmbBfDI: Zahlen-Fakten-Defizite-Lösungen nächsten Tag mit den Seite 16 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Unternehmensvertretern erörterten. Allein und ein hohes Prozessrisiko allein wegen die der schriftliche Vorabstimmung dieses Schwierigkeit bestand, einzelnes Termins erforderte weiteren umfangreichen Fehlverhalten anhand konkreter Punkte Schriftwechsel über die Inhalte der von uns festzumachen. vorgenommenen rechtlichen Bewertung. Die genannten Arbeiten nahmen einige Monate von 2013 sowie das ganze Jahr 2014 in Anspruch. Nachdem im Januar 2015 der oben stattgefunden erwähnte hatte, gab Termin es einen „Durchbruch“, der sich sowohl in dem wiederum mehrfach Protokoll ausdrückte, abzustimmenden als auch in Ergebnisabsprachen mit dem Unternehmen mündete. Diese Ergebnisse wurden dann im März 2015 zum Düsseldorfer Kreis angemeldet und führten zu einem Beschluss, der unsere Arbeit unterstützte. Mittlerweile hat es weiteren Schriftwechsel mit dem Unternehmen, verteilt über das Jahr 2015, gegeben, weil die Ergebnisabsprachen einen Zeitplan für die Umsetzung der Änderungen enthalten, die von uns überprüft werden. Voraussichtlich wird sich dies bis Anfang 2016 hinziehen. Dieser Fall war schon Thema im Tätigkeitsbericht 2012/2013 und wird auch im Tätigkeitsbericht 2014/2015 eingehend geschildert. Er zeigt, dass es in komplexen Verfahren außerordentlich schwierig ist, die Unternehmen zu datenschutzgerechtem Verhalten zu veranlassen. Immer wieder wurde zwischenzeitlich auch über die Möglichkeit einer Anordnung oder eines Bußgeldes unsererseits diskutiert. Das wurde jedoch verworfen, weil zwar vieles unzulässig war, die rechtliche Diskussion aber zeigte, dass es an Eindeutigkeit fehlte HmbBfDI: Zahlen-Fakten-Defizite-Lösungen Angesichts solcher langwierigen und komplexen Fällen, die, wie schon beim Referat D4 angemerkt, unverhältnismäßig viel Arbeitskraft binden, wird deutlich, warum auch im Referat D5 andere, wichtige Tätigkeiten „auf der Strecke bleiben“. So ist es zum Beispiel in fast keinem Arbeitsfeld möglich, dem Beratungsbedarf behördlichen und von betrieblichen Datenschutzbeauftragten, Unternehmen oder zu Behörden Rechtsfragen gerecht können nicht werden. mit der erforderlichen Sorgfalt bearbeitet werden und es fehlt die Zeit für die teilweise notwendige intensive Recherchen in Literatur und Rechtsprechung. Auch kann Zweifeln an der Recht- und sogar Verfassungsmäßigkeit von Vorschriften nicht in wünschenswertem Umfang nachgegangen werden; bei Beteiligungen in laufenden Gesetzgebungsverfahren wird dies soweit wie möglich gewährleistet. Bei bereits bestehenden Rechtsvorschriften über Spezialgebiete (z. B. Steuer- oder Geodatenrecht) mehr. klärung jedoch Ausreichende bei überhaupt nicht Sachverhaltsauf- Prüfungen und Beweis- erhebung bei Zweifeln an Stellungnahmen von Unternehmen sind kaum möglich. Hält der HmbBfDI infolge Bürgerbeschwerde verstoß in einen einem einer Datenschutz- Unternehmen für wahrscheinlich, fordert er das Unternehmen in der Regel zunächst zu einer Seite 17 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Stellungnahme auf. Oftmals weist das Das Referat D6 wurde im Zuge der Unternehmen die Vorwürfe zurück, indem Neustrukturierung es schon den Sachverhalt bestreitet. Eine geschaffen und ist das einzige Referat beim mögliche Vor-Ort-Prüfung mit HmbBfDI, in dem Informatiker und Juristen Einsichtnahme in oder die gemeinsam tätig sind. Der Schwerpunkt ist der dieses Referats liegt bei der Aufsicht und begrenzten der Beratung von Internetdiensten, was Kapazitäten nur in Ausnahmefällen bei sowohl globale Internetunternehmen als überragendem öffentlichem Interesse oder auch kleine Startups umfasst. Das Referat in Fällen bestand ursprünglich aus 3 Mitarbeitern mit möglich. Die Angaben der Unternehmen zusammen 1,95 VZÄ. Im Laufe dieses müssen wahr Jahres wurde das Referat um 2 Mitarbeiter hingenommen werden und Beschwerden und Mitarbeiterinnen (1,2 VZÄ) verstärkt, kann dann nicht weiter nachgegangen die werden. Dabei ist es auch schon angesichts Bürgerinnen und Bürgern bearbeiten, die der vielen Beschwerden, in denen bereits sich aus diesen Anlässen heraus Kontrollen Löschung bei der Google-Suche an den vorgenommen werden, so gut wie gar nicht HmbBfDI wenden. 0,5 VZÄ davon wurden mehr möglich, Unternehmen auch ohne beim Referat D4 abgezogen, und 0,7 VZÄ Anlass umso werden durch eine u.a. zu diesem Zweck bedauerlicher, weil dadurch der Eindruck geschaffene befristete Stelle (weitere 0,3 entstehen kann, dass die Nichtbeachtung VZÄ dieser befristeten Stelle kommen bei der D5 zum Einsatz) eingebracht. Unterlagen Behörde des die Unternehmens aufgrund vermuteten der eingriffsintensiven deshalb zu EDV häufig prüfen. Datenschutzregeln Das als ist unentdeckt und folgenlos bleiben kann. des ausschließlich wegen HmbBfDI die neu Eingaben abgelehnter von Anträge zur Beispielhaft gerade für die datenschutz- Die Aufstockung des Personalbestands bei rechtliche D5 um 2 VZÄ (1 x A14 – zur Versetzung Internetkonzerne ist der folgende Vorgang. des bisher nur abgeordneten Personals und Bereits 2012 hatte die Google Inc. ihre als Ersatz für die zeitlich befristeten 0,3 VZÄ sogenannten Privatsphärebestimmungen und 1 x A 13 (hD)) wird als notwendig durchgreifend geändert. betrachtet. Die jährlichen Personalkosten unterschiedliche dafür betragen 167.027,- Euro (PKV 2016). einzelnen Aufsicht über die Wo Regelungen Google-Produkte großen bislang für die (Suche, Youtube etc.) galten, wurde nun eine gemeinsame 4.6 Referat D6: Medien, Telemedien und Telekommunikation, E-Government HmbBfDI: Zahlen-Fakten-Defizite-Lösungen Basis für alle Produkte geschaffen. Diese erklärte einseitig die kombinierte, gemeinsame Verwendung aller von Google gesammelten Daten produktübergreifend für zulässig. Seite 18 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Hiergegen wurde vom HmbBfDI und einer dieser Reihe anderer europäischer Datenschutz- Google Klage dagegen erhoben hat, so behörden massive Kritik geäußert. Dies dass führte zur Bildung einer europaweiten „Task verwaltungsgerichtlich Force“, an der für Deutschland der HmbBfDI müssen. teilnimmt. Da Google seinen Deutschlandsitz in Hamburg hat, ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit die national zuständige Aufsichtsbehörde. Verwaltungsakt wir dadurch, uns nun dass auch damit befassen Unabhängig davon zeigt die von den Aufsichtsbehörden eingeschlagene Strategie mittlerweile deutliche Erfolge. Das Unternehmen Google hat wesentliche Änderungen an seinen Produkten Die ersten Reaktionen von Google auf die vorgenommen, geäußerte Kritik machten deutlich, dass es Einwilligungslösung in diesem Fall der gemeinsamen und Verarbeitung koordinierten Anstrengung verschiedener sicherstellen sollen. Zugleich können die Aufsichtsbehörden in Europa bedarf, um Nutzer Google zu relevanten Zugeständnissen zu Kontrollrechte wahrnehmen und damit die bewegen. Um diesen Schulterschluss zu Datensammelei von Google einschränken. praktizieren und auf der Arbeitsebene zu Ob das Gesamtpaket eine Umsetzung verwertbaren Ergebnissen unserer waren intensiver kommen, in die rechtskonforme erhobenen erweitertem Anordnung eine Daten Umfang darstellt, ist noch Gegenstand weiterer Prüfungen, zu der Dokumenten und eine Reihe von Treffen auch erweiterte Dokumentationen gehören, erforderlich. Diese fanden überwiegend in die Google bis spätestens Anfang März Paris statt, da die Federführung der Task 2016 vorlegen muss. bei der schutzbehörde Austausch der durch von Force ein zu die französischen CNIL liegt, Daten- aber auch Hamburg war als Gastgeber aktiv. Nicht immer, aber immer öfter bedürfen die Verfahren gegen bundesweiter und große Unternehmen auch europäischer Um den Aktivitäten auf gesamteuropäischer Abstimmungen, was neben den Sachmitteln Ebene den nötigen Nachdruck zu verleihen, (insb. Reisekosten) auch in hohem Maße haben die Aufsichtsbehörden die ihnen Personal bindet. Das ist mit ein Grund dafür, jeweils zur Verfügung stehenden rechtlichen dass das Referat bestimmte Tätigkeiten Instrumente genutzt, die Anforderungen nicht oder nur mit (in Bezug auf die durchzusetzen. In unserem Fall geschah Komplexität und den Umfang der Dinge) dies eine deutlich zu geringem Einsatz durchführen Anordnung, mit der Google verpflichtet wird, kann bzw. konnte. Ein Dauerbrenner in die Kombination der Nutzerdaten auf eine dieser Hinsicht sind beispielsweise die zulässige Basis zu stellen oder diese zu Beschwerden im Zusammenhang mit unterlassen. Zusätzliche Komplexität erhält Löschanträgen an Google, von denen HmbBfDI: Zahlen-Fakten-Defizite-Lösungen Seite 19 im September 2014 durch Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit 400 Begleitung von Wissenschaft vorliegen. Die Betroffenen sehen darin ihre Forschung, also die Ansprüche auf Löschung von Links in der technischen und rechtlichen Entwicklung Suchmaschine moderner dem HmbBfDI mittlerweile von Unternehmen knapp Google nicht berücksichtigt. Ständig Beschwerden hinzu durch das ausreichend kommen und neue in vielen eingebracht zu der Solche wodurch die wertvollen Praxiserfahrungen der Dienststelle nicht in bzw. Aufgrund Datenschutzkonzepte. möglich, die Eingaben. Begleitung Initiativen seitens des HmbBfDI sind nicht bearbeiteten Fällen kommen neue Vorträge weitere und Fortentwicklung des werden Datenschutzes können. Den geringer Kapazitäten konnten bislang ca. entwickelten Konzepten fehlt daher häufig 150 dieser Beschwerden nicht abgearbeitet der werden. Es entstehen dadurch erhebliche systematische rechtliche und technische Reaktionszeiten für die Betroffenen, bis es Fortbildung überhaupt zu einer ersten Befassung durch Mitarbeiter die Dienststelle kommt. Gleiches gilt für beschriebene Arbeitslast erlaubt es nicht, weitere Bürgerbeschwerden, bei denen dass Beschäftigte der Dienststelle sich aufgrund hoher Fallzahlen bei geringer systematisch fortbilden können. In dem Personalstärke selten eine angemessene hochdynamischen Bearbeitungszeit gewährleistet werden kann. Entwicklung und der Rechtsfortbildung im Bürger müssen vielmehr häufig zeitlich Datenschutzrecht bedroht diese Situation vertröstet werden, bevor eine inhaltliche die fachliche Qualität der Arbeitsergebnisse Befassung möglich ist. der Behörde. Weitere Defizite ergeben sich bei der Wie in allen anderen Referaten werden Begleitung von Social der auch im Referat D6 kaum anlassfreie (z.B. Prüfungen durchgeführt. Dabei wären zum von Beispiel Prüfungen von Unternehmen aus Media hamburgischen Verwaltung Facebook Twitter), und in die Praxisbezug. der Zudem ist eine Mitarbeiterinnen und kaum Die derzeit möglich. Bereich IT- verschiedenen Behörden und Dienststellen der der FHH eingesetzt werden. Der HmbBfDI geboten. In Hamburg sitzen bedeutende konnte hier in wenigen Einzelfällen beratend Anbieter von Onlinespielen, deren Kunden tätig dort mit umfänglichen personenbezogenen sein oder im Beteiligungsweg Computerspielebranche der dringend durch- Daten – nicht zuletzt Kontodaten und setzen. Allerdings fehlen die Kapazitäten, ähnliches zur Bezahlung der Spiele – um allgemein geltende Vorgaben im Sinne gespeichert sind. Welches Datenschutz- eines Social Media Guide zu erstellen und niveau die Anbieter dabei einhalten, liegt für diesen anschließend durchzusetzen. Es ist uns völlig im Dunkeln. daher damit zu rechnen, dass in der FHH Die Dringlichkeit der Prüfungen gilt genauso soziale Medien nicht datenschutzgerecht für Prüfungen von Apps, Webseiten oder eingesetzt werden. Ähnliches gilt für die Telemediendiensten. Für die Prüfung der HmbBfDI: Zahlen-Fakten-Defizite-Lösungen Seite 20 datenschutzrechtliche Vorgaben Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Datenströme von Smartphone-Apps oder abgewiesen werden. Dies betrifft auch mit dem Internet kommunizierender Geräte solche Unternehmen, die sich rechtzeitig wie Smart-TV-Geräte wurde von D6 zwar um ein Gerät entwickelt. Da eine Prüfung datenschutzfreundliche jedoch immer einen zeitlichen Vor- und Dienstleistungen bemühen möchten, um Aufbereitungsrahmen kommt von vornherein Datenschutzprobleme zu dieses Prüfsystem im Tagesbetrieb nur bei vermeiden. Zudem sind die Beratungszeiten konkretem Bedarf Auch zu lang, um den teilweise zeitsensiblen Prüfungen von oder Entwicklungen gerecht zu werden. Letzteres erfordert, zum Einsatz. Webseiten datenschutzgerechte Zeitaufwandes nur aus konkretem Anlass Monitoring statt. Für Spontan- oder Initiativprüfungen Facebook ist keine Zeit. Unternehmen oder öffentliche Dienstangebot und die Funktionalitäten von Stellen Facebook und Google oder des von Google müssen kaum oder befürchten, dass Datenschutzmissstände in konzipierten ihren verändern Apps, Dienstangeboten werden. Webseiten durch uns Aktuell oder aufgedeckt wird bzw. große bzw. ist Hamburg das Produkte Telemediendiensten finden aufgrund des in auch oder Problem Dokumentieren Google. Das Betriebssystems sich Kapazitätsgründen nahezu beim von breite Android täglich. Aus dies nicht kann eine regelmäßig dokumentiert oder überhaupt länderübergreifende Prüfung von Partner- angemessen verfolgt werden. Es wird daher schaftsbörsen durchgeführt, an der auch häufig an Themen (weiter-) gearbeitet, die der HmbBfDI teilnimmt. Dabei können von durch Schaffung neuer Fakten durch die uns jedoch lediglich Anbieter die drei größten in der datenschutzrechtlichen Anbieter geprüft werden; für die Prüfung der Konstellation verändert wurden. Oftmals anderen Anbieter mit Sitz in Hamburg kann der ursprüngliche Zustand bzw. die fehlen die Kapazitäten. Insgesamt hat der Problemlage dann nicht mehr geahndet Hamburgische Beauftragte für Datenschutz werden. und die Um die Aufgaben wahrnehmen zu können, Kapazitäten, sich an deutschland- oder ist es erforderlich, dass die bisher befristete europaweiten Stelle für das Referat D 6 auf 100% Informationsfreiheit nicht Branchenprüfungen zu beteiligen. aufgestockt und entfristet wird. Zusätzlich Auch die Beratung von Unternehmen, benötigt eine der gesetzlich festgelegten Aufgaben juristische/n Referentin/-en (Wertigkeit A13) des HmbBfDI, kann durch das Referat D6 und eine halbe Stelle für eine/-n (weitere/-n) nur sehr rudimentär durchgeführt werden. technische/-n Über eine kurze Orientierung oder die A13). Beantwortung Diese zusätzlichen 2,5 VZÄ verursachen sehr spezifischer Einzel- fragen hinaus müssen Unternehmen, die das Referat eine/-n Referentin/-en weitere/n (Wertigkeit Mehrkosten von rund 190.276,- Euro. sich mit Beratungsbedarf an uns wenden, HmbBfDI: Zahlen-Fakten-Defizite-Lösungen Seite 21 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit 5. Personalforderung und Kosten Die Forderungen nach mehr Personal beim HmbBfDI und die sich daraus ergebenden zusätzlichen Personalkosten nach Personalkostenverrechnungstabelle 2016 stellen sich zusammengefasst wir folgt dar: Referat VZÄ 2015 D1 D2 D3 D4 D5 D6 Gesamt 4,75 2,4 1,7 3,1 3,3 3,15 18,4 davon abgeordnet o. befristet 0,5 0,7 0,8 0,7 2,7 geforderte VZÄ zusätzliche Personalkosten 1,5 2 2 1,5 2 2,5 11,5 121.821,50 € 158.010,- € 152.860,- € 115.932,50 € 167.027,- € 190.276,- € 905.927,- € VZÄ nach bewilligter Forderung 6,25 3,9 3 4,6 4,5 4,95 27,2 Dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit ist bewusst, dass angesichts der gegenwärtigen Situation der öffentlichen Haushalte eine einmalige hohe Aufstockung des Personals um 11,5 Stellen aller Voraussicht nach nicht umgesetzt werden kann. Zudem lassen sich vor der Umsetzung der derzeit im Trilog beratenden Europäischen Datenschutzgrundverordnung Personalmehrbedarfe, abschließend die treffen. in Der diesem HmbBfDI Aussagen Zusammenhang ist daher über entstehen bereit, die künftige werden, nicht erforderliche Personalaufstockung von 11,5 VZÄ um jeweils 0,5 VZÄ pro Referat zu kürzen und zunächst zurückzustellen. Es bleibt somit bei einer Forderung nach Verstärkung des Personals beim HmbBfDI um 8,5 VZÄ. Diese personelle Verstärkung würde Personalkosten in Höhe von 672.682 Euro (PKV 2016 – 1,5 x A14, 5 x A13 (hD), 1 X A12 und 1 x E13) verursachen. Durch diese Erhöhung des Personalbestands ergeben sich aber auch Folgekosten, die hier nur angedeutet werden können: Durch den geplanten Verkauf der Cityhochhäuser ist der HmbBfDI gezwungen, spätestens Mitte 2017 neue Büroräume zu beziehen. Das Immobilien Service Zentrum der Sprinkenhof HmbBfDI: Zahlen-Fakten-Defizite-Lösungen Seite 22 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit GmbH ist nach Vermittlung durch das LIG bereits auf der Suche nach adäquaten Immobilien. Die derzeitigen Räumlichkeiten der Dienststelle des HmbBfDI verursachen Kosten in Höhe von rund 65.000 Euro pro Jahr. Nach Auskunft der Sprinkenhof sind Büroräume in Hamburg zu diesem Preis nicht zu finden. Nach einer entsprechenden Analyse geht die Sprinkenhof GmbH von einem Raumbedarf von etwa 800 m2 für den HmbBfDI aus, der nach dortiger Schätzung 175.000,- Euro Kosten pro Jahr verursachen würde. Diesen Mehrbedarf hat der HmbBfDI, insbesondere zur Berücksichtigung bei den sog. Eckwerten, der JB bereits mitgeteilt. Bei einer Erhöhung des Personalbestands würde sich der Raumbedarf entsprechend erhöhen, schätzungsweise um rund 100 m2. Es muss also davon ausgegangen werden, dass sich die Kosten für Büroraum dann auf etwa 200.000,- Euro im Jahr erhöhen werden. Hinzu kommen Anschaffungskosten für (PC-) Arbeitsplätze und die sich daraus ergebenden laufenden Folgekosten. 6. Weitere Informationen Würde sich das VZÄ-Soll des HmbBfDI von derzeit 16,41 auf 24,92 VZÄ erhöhen, würde der HmbBfDI im Vergleich der Datenschutzbeauftragten der Länder von seinem bisherigen 13’ten Rang (nur Mecklenburg-Vorpommern, Saarland und Bremen haben weniger Personal) auf den 8’ten Rang verbessern3. 1. NRW (53 VZÄ) BY (50 VZÄ) HE (44,5 VZÄ) BE (39 VZÄ) 2. 3. 4. 5. 6. 7. 8. NI (33,6 VZÄ) BW (32,5 VZÄ) SH (28 VZÄ) HH (24,9 VZÄ) 9. BB (23 VZÄ) SN (22 VZÄ) ST (22 VZÄ) RP (20 VZÄ) 10. 11. 12. 13. 14. 15. 16. TH (19 VZÄ) MV (14 VZÄ) SL (13 VZÄ) HB (12,8 VZÄ) Datenschutz- und informationsfreiheitsrechtliche Eingaben beim HmbBfDI im 5-Jahres Vergleich 1.800 1.600 1.400 1.200 1.000 800 600 400 200 0 1.660* 1.437 1.237 2011 1.138 1.110 2012 2013 1 2014 2015 * Hochrechnung auf Grundlage der Zahlen am 31.10.2015 hier einschl. der Stelle des HmbBfDI 2 hier einschl. der Stelle des HmbBfDI 3 Grundlage: Länderumfrage des BlnBDI 2014, Bayern: DSB und LDA zusammengefasst HmbBfDI: Zahlen-Fakten-Defizite-Lösungen Seite 23
© Copyright 2024 ExpyDoc
