Wiesbaden, 20.
November 2001
Datenschutz in der Justiz
I.
Grundnorm:
HDSG
Maßgebend für die datenschutzrechtlichen Pflichten ist das hessische Datenschutzgesetz, im Rahmen verfassungskonformer Eingrenzungen ergänzend das Grundrecht auf informationelle Selbstbestimmung. Das HDSG legt die folgenden Grundsätze für die Richterschaft fest:
- Die materiell-rechtliche Geltung des HDSG für alle richterlichen Handlungen, einschließlich der Entscheidungsfindung und der vorausgehende Schritte (§ Abs. 1 Satz 1 HDSG).
- Die Einrichtung eines weisungsfreien - gerichtlichen Datenschutzbeauftragten zur gerichtsinternen Sicherstellung des Datenschutzes (§ 5 Abs. 1 HDSG). Ihm stehen allerdings keine Befugnisse zu, die die richterliche Unabhängigkeit einschränken können (Art. 97 Abs. 1 GG). Im Grundsatz ist das HDSG zu vollziehen, verfassungsrechtliche Einwendungen unterliegen dem Verwerfungsmonopol des Bundesverfassungsgerichts.
- Die Beschränkung der Kontrollbefugnisse des HDSB auf Tätigkeiten, die außerhalb richterlicher Unabhängigkeit liegen (§ 24 Abs. 1 Satz 3 HDSG).
Divergenzen gegenüber den allgemeinen datenschutzrechtlichen Pflichten ergeben sich für Richter vor allem aus:
- der institutionellen Garantie richterlicher Unabhängigkeit,
- den verfahrensrechtlichen Regelungen der Prozessordnungen, insbesondere den dort begründeten Übermittlungs- und Benachrichtigungspflichten,
- bundesrechtlichen Sondervorschriften der Strafprozessordnung und des Strafvollzugsgesetzes, des HGB (Handelsregister), der Insolvenzordnung (Veröffentlichung), des BGB (Vereins- und Güterrechtsregister).
III.
Einzelne
Problembereiche:
1. Arbeit am PC - Dienstausübung ohne
Grundrechtsschutz
Richterliche Tätigkeiten am PC oder im gerichtseigenen Netz (Serverbetrieb) erfolgen in Dienstausübung und unterstehen daher keinen grundrechtlichen Beschränkungen. Richterliche Unabhängigkeit stellt keine Individualrechtsgewährleistung dar, so dass keine persönlichen informationellen Abwehrrechte daraus herzuleiten sind. Die dienstlich bedingten Zugriffsrechte der einzelnen Richter sind vom Präsidium bzw. Vorsitzenden Richter des Spruchkörpers genau und vorab festzulegen. Die Einrichtung der Zugriffsrechte erfolgt durch die Administratoren nach den Vorgaben des Präsidiums. Eigenständige Zugriffsrechte der Geschäftsstellen, des Präsidenten/Direktors oder des Pressesprechers dürfen nicht vorgesehen werden, soweit richterliche Tätigkeiten von sonstigen ununterschieden gespeichert sind.
2. Technische Sicherheitsmaßnahmen
Der richterliche Arbeitsplatz ist durch technische Sicherheitsmaßnahmen gegen unberechtigte Zugriffe zu sichern (§ 10 HDSG). Einzelarbeitsplätze, die am gerichtlichen Netz hängen, müssen nicht nur gegen externe, sondern auch gegen unberechtigte interne Zugriffe geschützt werden, da erfahrungsgemäß ca. 80% der unberechtigten Zugriffe von innen kommen. Dies kann mit Firewalls am Arbeitsplatz, Intrusion Detection Systemen oder vergleichbaren Maßnahmen erreicht werden. Passwortschutz allein reicht nicht aus.
Der Rechtsgrund für die Sicherheitsmaßnahmen liegt im Amtsgeheimnis (§§ 203, 353b StGB) und im Datengeheimnis (§ 9 HDSG). Geschützt ist das Vertrauen in das amtliche Stillschweigen.
3. Vorabkontrolle
Da die Arbeit am PC oder Server automatisierte Datenverarbeitung (Definition: § 3 Abs. 2 BDSG, enger § 2 Abs. 6 HDSG) darstellt, sind Vorabkontrollen durchzuführen und Verfahrensverzeichnisse zu erstellen (§§ 6, 7 Abs. 6 HSDG). In die Verfahrensverzeichnisse kann jedermann einsehen. Die bisherige Regelung in § 6 Abs. 2 Satz 2 Ziff. 2 HDSG wird durch § 491 Abs. 2 StPO überlagert.
4. Zuständigkeits- sind Zugriffsgrenzen
Zuständigkeitsübergreifende Zugriffe (bspw. des leitenden Richters oder des Dienstherrn) auf den Arbeitsplatz sind unzulässig. Nicht ausgeschlossen sind Zugriffe im Vertretungsfall, da der Vertreter den Richter uneingeschränkt ersetzt (zum Zugriff auf Entwürfe vgl. unten Ziff. 10). Ist der Vorsitzende des Spruchkörpers Vertreter, so steht auch ihm das Zugriffsrecht zu.
5. Dienstordnungs- und strafverfolgende
Zugriffe
Zugriffsbefugnisse in Zuge von Ermittlungen gegen den Richter bestehen nur in Disziplinarverfahren oder zur Strafverfolgung (bspw. Vorwurf der Rechtsbeugung, Bestechlichkeit). Insofern gilt das Gleiche wie bei Papierakten. Problematisch ist, ob § 22a HDO auch gegenüber diesbezüglichen Speicherungen im richterlichen PC gilt. Soweit ein förmliches Verfahren eröffnet oder Vorermittlungen für die Verfügung eines Verweises angeordnet ist, sieht das HRiG keine Abweichung vom allgemeinen Dienstordnungsrecht vor. Sofern nicht besondere Gründe vorliegen, die dafür sprechen, dass der Zugriff auf Daten die richterliche Unabhängigkeit in Frage stellen kann und soll, ist § 22a auch bei richterlichen PC-Arbeitsplätzen anzuwenden.
6. Administration
Die alltäglichen Fehler am PC (Abstürze, Programmmängel, Zugriffsverweigerung, Passwortirrtümer) zwingen zur Vorhaltung einer professionellen Administration der PC oder der Servers. Die Administration sollte weder durch staatliche Fernwartungsanbieter noch durch außenstehende Firmen erfolgen, da deren Verhalten im Netz nur schwer kontrollierbar ist (vgl. HDSB-Mustervertrag Fernwartung, unter www.datenschutz.hessen.de:Musterverträge). Es ist dringend zu empfehlen, dass gerichtsinterne Administratoren durch Dienstanweisung auf unerlässliche Datenzugriffe beschränkt und - ergänzend zu § 9 HDSG - zu besonderer Geheimhaltung verpflichtet werden.
7. Gerichtliche Datenschutzbeauftragte
Der - weisungsunabhängige und zur Geheimhaltung verpflichtete - gerichtliche Datenschutzbeauftragte muss ungeachtet der Schranken aus Art. 97 GG überall dort auf Erfüllung der datenschutzrechtlichen Pflichten durch die Richterschaft dringen, wo eine verfassungskonforme Reduktion den Auslegungsspielraum überschreiten würde. Das gilt insbesondere für die Prüfung, ob die institutionellen datenschutzrechtlichen Sicherungen auf den Richter-PC und Arbeitsplätzen eingehalten sind.
8. Elektronische Kommunikation innerhalb der Gerichte
Der Umfang elektronischer Kommunikation innerhalb der Gerichte hängt vom Willen der Teilnehmenden ab und stellt deswegen keine Gefahr für die richterliche Unabhängigkeit dar. Die Grenze liegt daher im Datenschutz: Soweit personenbezogene Daten Parteien/Beteiligte weitergegeben werden, handelt es sich um eine Übermittlung, die aufgrund des prozessualen Verfahrensrechts legitimiert ist und damit im Rahmen der Zweckbestimmung liegt. Diese darf nur ausnahmsweise durchbrochen werden (§§ 13 II, 12 II HDSG). Regelmäßig darf innerhalb des Spruchkörpers und des Instanzenzuges übermittelt werden. Eine Beiziehung zu anderen Verfahren muss über die jeweiligen Verfahrensordnungen oder § 12 II HDSG legitimiert werden.
Neben der technischen Absicherung des richterlichen Arbeitsplatzes muss auch die Kommunikation und der Datenaustausch unter Richtern und deren Hilfskräften sicher (verschlüsselt) ablaufen. Neue Betriebssysteme wie zum Beispiel Windows 2000 bieten die dazu nötigen Funktionen.
9. Elektronische Kommunikation mit
Außenstehenden
Elektronische Kommunikation mit Parteien/Beteiligten/Angeklagten setzt deren ausdrückliche Zustimmung voraus. Sie wird durch die Angabe einer Email-Adresse nicht erteilt. Zugangsfragen werden derzeit beraten. Alle Datenschützer fordern, auch hier die 3-Tagesfrist gelten zu lassen. Die Kommunikation bedarf aus datenschutzrechtlichen Gründen der Verschlüsselung. Außerdem ist bei verfahrensbestimmenden Verfügungen und Entscheidungen mit einer qualifizierten elektronischen Signatur (ggf. mit Anbieterakkreditierung) zu arbeiten. Einfacher ist allerdings die nachfolgende Versendung in Papierform.
10. Speicherungen
vor Verkündung
Speicherungen vor Verkündung der Entscheidung berühren neben datenschutzrechtlichen Fragen auch die richterliche Unabhängigkeit. Eine Einsichtnahme durch Dritte erlaubt diesen möglicherweise, den Entscheidungsprozess nachzuvollziehen und ggf. anders zu beeinflussen, als das ohne die so erlangte Kenntnis stattfände.
Der Zugriff des Vertreters auf vorbereitende Überlegungen setzt die Einwilligung des eigentlich Zuständigen voraus, denn der Vertreter entscheidet aus eigener Beurteilung; im übrigen kann er zugreifen.
11. Speicherungen
nach Rechtskraft
Speicherungen nach Rechtskraft der Entscheidung berühren nur noch Datenschutz. Da gerichtliche Entscheidungen das Zivil- oder Verwaltungsrechtsverhältnis bestimmen, zuweilen sogar gestalten, sind sie zu dokumentieren. Das Gleiche gilt für Strafakten, deren lebensgestaltende Wirkung über den Tag der Entscheidung hinausreicht; auch sie sind zu dokumentieren. Aufbewahrungsort kann die traditionelle Papierakte oder ein grundsätzlich gleichwertiges elektronisches Aktenverwaltungssystem sein. Zugang zu dieser Dokumentation ist den Verfahrensbeteiligten zu gewähren und staatlichen Instanzen, denen eine Zugriffsbefugnis gesetzlich eingeräumt worden ist.
12.
Nachweissystem Anonymisierung
Für alle übrigen Nutzer ist grundsätzlich der Weg der Anonymisierung zu gehen. Die Wiederauffindung von Präjudizien wird durch Schlagworte oder Volltext-Suchfunk-tionen besser geleistet als durch Namen (Bsp. JURIS-Erschließung). Der Einwand zu hohen Arbeitsaufwands ist nicht begründet, da mit einfachen PC-Befehlen (Ersetzen) Namen getilgt und durch A,B,C ersetzt werden können. Ausdrucke auf Papier sind nach Anonymisierung zu erstellen - das gilt auch für die gerichtsinterne Information und Bibliothek. Die personenbezogenen Daten sind zu löschen, sobald feststeht, dass sie nicht mehr benötigt werden (§ 19 Abs. 3 HDSG). Sofern neben dem Urteilsausdruck auf Papier elektronische Dokumente mit Personenbezug aufbewahrt werden sollen, ist die Verwendung von Disketten oder CD-ROM vorzuziehen, da diese der Akte beigefügt werden können.
13. Auswertung
der Speicherungen durch die Dienststelle
Eine dienstaufsichtlich zu begründende oder organisationsrechtlich begründete Auswertung von Speicherungen in Einzel-PCs und Servern (bspw. durch das Präsidium) ist generell unzulässig, soweit die betreffenden Daten auf richterliche Tätigkeiten zurückgehen. Insoweit besteht hinsichtlich der Inhalte keine allgemeine dienstaufsichtliche Zuständigkeit. Eine Erledigungskontrolle im Sinne eines Pensenschlüssels darf nicht durch Zugriffe auf den PC oder Server stattfinden; sie muss - soweit sie dienst- und personalvertretungsrechtlich zulässig ist - offen und mit Kenntnis der betroffenen Richterinnen und Richter über Art und Umfang der dabei verwendeten Daten erfolgen. Überprüft werden kann allerdings auch von der Dienstaufsicht, ob die in § 10 vorgeschriebenen informationstechnischen Sicherheitsbestimmungen eingehalten werden, ob ausreichende Verfahrensverzeichnisse erstellt worden sind, insbesondere, ob die
Übermittlungsschranken aus § 13 Abs. 1 HDSG beachtet sind. Insofern sind keine Probleme richterlicher Unabhängigkeit berührt.
14. Missbrauch
des Internetzugangs
Vermutete Straftaten oder vermuteter Missbrauch des Internetzugangs dürfen nur straf- oder disziplinarrechtlich verfolgt werden, nicht durch formlose Einsichtnahme. Im Straf- oder Disziplinarverfahren sind nur solche Zugriffe als erforderlich i.S.v. § 11 Abs. 1 HDSG anzusehen, mit denen Dienstvergehen bewiesen werden sollen, die sich aus dem Vorgang der Entscheidungsfindung, aus anderen dienstlichen Verrichtungen oder aus allgemeinen Straftaten herleiten.
15.
Internet-Nutzung und Emails
Hier entstehen wiederkehrende Gefahren, da unberechtigte Zugriffe auf dienstliche PC oder Server von außen nicht mit Sicherheit abgewehrt werden können. Nicht einmal der Einsatz von Firewalls und Intrusion Detection Systemen bietet eine 100% Sicherheit. Um eine höchstmögliche Sicherheit zu erreichen, ist der Einsatz besonderer PCs zweckmäßig, die vom Gerichtsnetz physikalisch getrennt sind und auf denen sich keine zu schützenden Daten befinden. Besondere Gefahren entstehen bei der Öffnung von Anhängen zu Emails, da sie Schadprogramme enthalten können. Auch sie sollten nur auf PCs geöffnet werden, die keine Verbindung zum inneren Netz haben.
16. Private
Mitnutzung
Die persönliche Inanspruchnahme dienstlicher Internet-Anschlüsse führt zu kaum
überwindbaren Telekommunikationsproblemen, denn die Dienststelle wird damit Diensteanbieter (Provider) und darf nach TDDSG und TKG nur auf die Verbindungsdaten (zur Abrechnung und Funktionssicherung) zugreifen, die Inhalte hingegen nicht zur Kenntnis nehmen. Das aber ist für dienstliche Emails unerlässlich (vgl. dazu das Papier: Dienstliche und private Nutzung von Email und www, Stand 24.10.2001, unter www.datenschutz.hessen.de). Private Mitnutzung sollte deswegen nicht gestattet werden, allenfalls der Abruf von der privaten Mailbox über dienstliche Anschlüsse.
17.
Bereichsspezifische strafprozessuale
Datenschutzvorschriften
Die neu gefasste StPO (§§ 474 495) enthält erstmals eigenständiges Datenschutzrecht für das Strafverfahren. Außerdem werden die Übermittlungsbefugnisse zwischen StA und Polizei und die (gelockerte) Zweckbindung bei repressiven und präventiven Zwecken geregelt. Die §§ 479, 481 StPO regeln, inwieweit die Staatsanwaltschaften andere Strafverfolgungs- und Polizeibehörden aktiv informieren dürfen. Die §§ 474-495 StPO sind als bereichsspezifische Regelung auf die Strafverfolgung beschränkt. Eine entsprechende Anwendung in anderen Bereichen der Gerichtsbarkeit scheidet aus.
18.
Übermittlungen außerhalb der StPO
Die Übermittlungsbefugnisse der anderen Gerichtsbarkeiten richten sich nach den Verfahrensordnungen bzw. § 13 HDSG. Nach § 13 Abs. 1 können Übermittlungen im Rahmen der jeweiligen Zweckbestimmung erfolgen, bspw. an die Vollstreckungsinstanzen. Nach § 13 Abs. 2 i.V.m. § 12 Abs. 2 darf übermittelt werden, wenn antragsbegründende Angaben des Betroffenen überprüft werden müssen oder wenn die Abwehr erheblicher Nachteile für das Gemeinwohl oder für Leben, Gesundheit und persönliche Freiheit das gebietet, oder in Fällen, in denen sich Anhaltspunkte für Straftaten oder Ordnungswidrigkeiten ergeben haben.