Niedersächsischer Landtag − 17. Wahlperiode Drucksache 17/7865 1 Kleine Anfrage zur schriftlichen Beantwortung mit Antwort der Landesregierung - Drucksache 17/7584 - Datenschutz in Niedersachsen Anfrage der Abgeordneten Jan-Christoph Oetjen, Dr. Stefan Birkner, Jörg Bode und Christian Grascha (FDP) an die Landesregierung, eingegangen am 10.03.2017, an die Staatskanzlei übersandt am 14.03.2017 Antwort des Niedersächsischen Ministeriums für Inneres und Sport namens der Landesregierung vom 12.04.2017, gezeichnet In Vertretung Stephan Manke Vorbemerkung der Abgeordneten Ab dem 25.05.2018 gilt auch in Niedersachsen für den Datenschutz vorrangig die EU-Datenschutz- Grundverordnung (EU-DSGVO). Am 01.02.2017 hat die Bundesregierung im Rahmen des Datenschutz -Anpassungs- und -Umsetzungsgesetzes (EU-DSAnpUG) den Entwurf eines neuen Bundesdatenschutzgesetzes (BDSG-neu) beschlossen. Es soll das bisherige Bundesdatenschutzgesetz (BDSG-alt) ablösen. Das Gesetz wird als zustimmungspflichtig im Bundesrat eingestuft. Es wird wegen der Eilbedürftigkeit derzeit parallel in Bundestag und Bundesrat beraten und soll bis Mitte Mai 2017 verabschiedet sein. Der vorliegende Entwurf wird - trotz bereits erfolgter Nachbesserungen - von zahlreichen Verbänden und Sachverständigen kritisiert. (Bundesdatenschutzbeauftrage 01.02.2017, heise-online 31.01.2017). Auf einer Veranstaltung der Europäischen Akademie für Informationsfreiheit und Datenschutz in Berlin hat Ende Januar 2017 auch die Niedersächsische Landesbeauftragte für den Datenschutz (LfD), Barbara Thiel, in ihrer Funktion als Vorsitzende der Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) eine kritische Bewertung des Gesetzentwurfs vorgenommen. Vorbemerkung der Landesregierung Die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz -Grundverordnung - DSGVO -) ist am 25.05.2016 in Kraft getreten und von den Mitgliedstaaten ab dem 25.05.2018 unmittelbar anzuwenden. Die Mitgliedstaaten haben bis zu diesem Zeitpunkt die allgemeinen und bereichsspezifischen Datenschutzvorschriften an die DSGVO anzupassen, d. h. entgegenstehendes Recht aufzuheben, gleichlautendes Recht grundsätzlich ebenfalls aufzuheben, ergänzendes Recht an den in der DSGVO vorgesehenen Stellen zu erlassen und Entscheidungen darüber zu treffen, ob und wenn ja wie von allgemeinen und spezifischen Öffnungsklauseln Gebrauch gemacht werden soll. Die DSGVO enthält diverse Regelungsaufträge an die Mitgliedstaaten, nach denen diese bis zum Zeitpunkt der Anwendbarkeit die DSGVO durch nationales Recht ergänzen müssen. Die Regelungsaufträge richten sich überwiegend an den Bundesgesetzgeber. Daneben räumt die DSGVO den Mitgliedstaaten in vielen Bereichen mit allgemeinen und spezifischen Öffnungsklauseln Handlungsspielräume ein. Die Öffnungsklauseln erlauben Konkretisierungen, d. h. konkretere nationale Best- Niedersächsischer Landtag – 17. Wahlperiode Drucksache 17/7865 2 immungen, Ergänzungen, d. h. eine Vervollständigung der DSGVO, sowie Modifikationen, d. h. Abweichungen von der DSGVO. Der Sachstand zur Anpassung des Bundesdatenschutzgesetzes und weiterer Bundesgesetze wird in der Kleinen Anfrage beschrieben. Die Anpassung des Niedersächsischen Datenschutzgesetzes (NDSG) und weiterer Vorschriften zum Datenschutz wird derzeit innerhalb der Landesregierung abgestimmt. Da es sich hierbei noch um interne Prozesse zur Entscheidungsbildung handelt, kann die Beantwortung von Fragen zum Inhalt des neu zu fassenden niedersächsischen Datenschutzrechts derzeit noch nicht erfolgen. Der Europäische Gerichtshof (EuGH) hatte mit dem Urteil vom 9. März 2010 in der Rechtssache C-518/07 festgestellt, dass die Bundesrepublik Deutschland durch die seinerzeit geltende Regelung zur Datenschutzaufsicht im nicht öffentlichen Bereich gegen die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr verstieß, da die Unabhängigkeit der Kontrollstellen nicht hinreichend gewährleistet war. Die erforderlichen Anpassungen des Niedersächsischen Datenschutzgesetzes an das Urteil sind mit Gesetz vom 30.06.2011 erfolgt (Nds. GVBl. S. 210). Die Landesbeauftragte für den Datenschutz (LfD) ist gemäß Artikel 62 Abs. 3 der Niedersächsischen Verfassung (NV) i. V. m. § 21 Abs. 3 NDSG gemäß dem Urteil des Europäischen Gerichtshofes vom 9. März 2010 völlig unabhängig und unterliegt keiner staatlichen Aufsicht mehr. Die Landesregierung darf parlamentarische Anfragen nach Artikel 24 Abs. 1 NV, soweit sie den Tätigkeitsbereich der LfD betreffen, nicht mehr im Rahmen von Fachaufsichtsbefugnissen gegenüber dem Landtag beantworten. Der LfD wurde zur Beantwortung der Kleinen Anfrage die Gelegenheit zur Stellungnahme gegeben. Soweit die Kleine Anfrage den Tätigkeitsbereich der LfD betrifft, erfolgt die Beantwortung der Kleinen Anfrage in deren Zuständigkeit und Verantwortung. Deren Beiträge sind in Absprache mit der LfD in die Antwort integriert und als solche gekennzeichnet. Zum BDSG-neu: 1. Welche Position hat die Landesregierung bei der Beratung des EU-DSAnpUG im Bundesrat eingenommen? Auf welche Änderungen hat die Landesregierung gegebenenfalls gedrungen, um den Datenschutz der Bürgerinnen und Bürger in Niedersachsen zu verbessern und die Rechtsunsicherheit für Unternehmen zu minimieren? Den Datenschutzressorts der Länder wurde vom Bundesministerium des Innern bereits im Vorfeld Gelegenheit zur Stellungnahme zum Referentenentwurf zur Anpassung des Bundesdatenschutzgesetzes an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 gegeben . Die Landesregierung hat zu dem Entwurf ausführlich Stellung genommen. Aufgrund der Komplexität des Vorhabens zu einer Reform des nationalen Datenschutzrechts haben sich die Bundesländer zu den Beratungen im Bundesrat im Vorfeld abgestimmt, um einerseits möglichst alle aus ihrer Sicht noch erforderlichen Aspekte zu dem Gesetzentwurf einzubringen, andererseits mehrfache Antragstellungen in gleicher Sache zu vermeiden. Im Bundesratsverfahren wurde seitens der Länder mit Beschluss vom 10.03.2017 betont, dass eine umfassende Bewertung der vorgeschlagenen Neufassung des Bundesdatenschutzgesetzes nicht möglich sei, nachdem notwendige Anpassungen des vorrangigen Fachrechts bislang weder erfolgt noch konkret absehbar seien, sodass der konkrete Anwendungsbereich des Gesetzentwurfs in weiten Teilen im Unklaren bliebe. Weiter wurde bedauert, dass die ausstehende Anpassung des bereichsspezifischen Datenschutzrechts des Bundes beispielsweise in den Prozessordnungen oder im Sozialdatenschutzrecht auch für die Rechtsanwender in öffentlichen Stellen der Länder und Kommunen erhebliche Unsicherheiten über ihre bis Mai 2018 zu erfüllenden Anpassungspflichten erwarten ließe. Insgesamt wurden von den Ländern 85 Empfehlungen zu einzelnen Regelungen vorgebracht, denen auch die Landesregierung überwiegend zugestimmt hat. Hierzu gehören beispielsweise die Bitte , im weiteren Gesetzgebungsverfahren zu prüfen, ob die in Artikel 1 Teil 1 des Gesetzentwurfs enthaltenen umfangreichen Wiederholungen des Textes der DSGVO vermieden werden können, insbesondere, indem in Artikel 1 Teil 3 Verweisungen auf die Verordnung aufgenommen werden. Auch wurde einigen Anträgen zur Ausgestaltung der Rechte der betroffenen Personen zugestimmt, außerdem Anträgen auf klarstellende Regelungen zur Zuständigkeit der Aufsichtsbehörden für den Niedersächsischer Landtag – 17. Wahlperiode Drucksache 17/7865 3 Datenschutz sowie der Forderung nach spezifischen Regelungen zum Beschäftigtendatenschutz. Niedersachsen war Mitantragsteller bei der Forderung einer ausgewogenen Regelung zu den Kontrollkompetenzen der Aufsichtsbehörden bei Berufsgeheimnisträgern, bei der Forderung zur Stärkung der Position der Vertretung der Aufsichtsbehörden der Länder im Europäischen Datenschutzausschuss und bei der Forderung nach einer strengeren Regelung bei der Verarbeitung besonderer Kategorien personenbezogener Daten. 2. Die Videoüberwachung öffentlich zugänglicher Räume ist in § 4 BDSG-neu geregelt. Soweit der Betreiber eine Videoüberwachung an Standorten des § 4 Abs. 1 Satz 2 einsetzt und die Schutzgüter Leben, Gesundheit und Freiheit in den dort genannten Anlagen betroffen sein können, wird die Videoüberwachung „privilegiert“. Wie steht die Landesregierung zu dieser Regelung? Ist die Norm des § 4 BDSG-neu aus Sicht der Landesregierung europarechtskonform? Die ausdrücklich gesetzlich geregelte Aufnahme der Schutzgüter „Leben, Gesundheit und Freiheit“ in den erforderlichen Abwägungsprozess vor dem Einsatz von Videoüberwachungsanlagen soll zu mehr Rechtsklarheit führen. Dies gilt auch vor dem Hintergrund, dass die Datenschutzaufsichtsbehörden einer Videoüberwachung in solchen Anlagen eher ablehnend gegenüberstehen und dementsprechend entscheiden. Die Abwägung hinsichtlich der Zulässigkeit von Videoüberwachungsanlagen soll auch künftig nicht pauschal, sondern für jede Teilanlage innerhalb einer öffentlich zugänglichen großflächigen Anlage gesondert vorgenommen werden. Die Regelung erfordert weiterhin Abwägungsprozesse, deren Ergebnis auch die Unzulässigkeit von Videoüberwachungen sein kann. Die Landesregierung begrüßt diese Ergebnisoffenheit der Abwägungsprozesse. Die Regelung wird als europarechtskonform angesehen. 3. Wie steht die Landesregierung zur nachrangigen und beschränkten Berücksichtigung der Datenschutzbehörden der Länder im Europäischen Datenschutzausschuss? Das EU-DSAnpUG regelt in Artikel 1 Kapitel 5 (§§ 17 bis 19) die nationale Vertretung im Europäischen Datenschutzausschuss. Die dort vorgesehene Regelung räumt aus Sicht der Länder, so auch aus Sicht der Landesregierung, den Aufsichtsbehörden der Länder kein hinreichendes Gewicht ein. Die Länder haben daher im Bundesrat in ihrem Beschluss zum Gesetzentwurf der Bundesregierung gefordert, die Vertretungsbefugnis der Landesdatenschutzbeauftragten neben den Fällen des alleinigen Rechts zur Gesetzgebung zu erweitern auf die Fälle, in den ihnen die Vollzugsverantwortung obliegt. In diesen Fällen soll der Stellvertreter, d. h. die Leiterin oder der Leiter einer Aufsichtsbehörde eines Landes, auf Verlangen die Verhandlungsführung und das Stimmrecht im Europäischen Datenschutzausschuss erhalten. Niedersachsen war bei diesem Antrag, wie bereits zu Nummer 1 erwähnt, Mitantragsteller. 4. Sieht die Landesregierung die Möglichkeit, dass die LfD mit Widersprüchen zwischen der europäischen und bundesdeutschen Gesetzgebung konfrontiert wird und in der unabhängigen Wahrnehmung ihrer Aufgaben zu der Rechtsauffassung gelangt, Regelungen der bundesdeutschen Gesetzgebung nicht zu berücksichtigen und z. B. dort fragwürdige Rechtfertigungsgründe zur Datenverarbeitung von Unternehmen nicht anzuerkennen ? Grundsätzlich besteht die Möglichkeit, dass Rechtsauffassungen der Landesdatenschutzbeauftragten von denen des Bundesgesetzgebers im Hinblick auf die Anwendung und Ergänzung der DSG- VO abweichen. Die oder der LfD kann in einem solchen Fall zunächst die ihr oder ihm gemäß Artikel 58 DSGVO zustehenden Befugnisse wahrnehmen. Es ist nicht auszuschließen, dass die Auslegung von Regelungen der DSGVO im Einzelfall strittig sein und letztendlich dem Europäischen Gerichtshof die Entscheidung darüber obliegen wird. Niedersächsischer Landtag – 17. Wahlperiode Drucksache 17/7865 4 Zum NDSG-neu: 5. Wie ist der Umsetzungsstand für Anpassungen im niedersächsischen Datenschutzrecht ? Ein Referentenentwurf zur Anpassung des Niedersächsischen Datenschutzgesetzes und weiterer Vorschriften zum Datenschutz an die DSGVO wurde erarbeitet und den Ressorts, der LfD sowie dem Landesrechnungshof und dem Präsidenten des Landtags wegen besonderer Betroffenheit am 22.03.2017 zur Stellungnahme übermittelt. 6. Welche anzupassenden Gesetze und Verordnungen hat die Landesregierung abseits des Niedersächsischen Datenschutzgesetzes (NDSG) identifiziert? In der Anlage sind die nach derzeitigem Erkenntnisstand anzupassenden Vorschriften benannt. Die Übersicht wurde anlässlich der Großen Anfrage der Fraktion der FDP vom 24.11.2016 - Digitalisierung - 17/6976 erstellt. Der Prozess zur Prüfung des Anpassungsbedarfs von Vorschriften ist noch nicht abgeschlossen. Insbesondere stimmen sich die jeweiligen Fachressorts der Länder in einzelnen Bereichen untereinander ab, um eine möglichst einheitliche Umsetzung der DSGVO zu gewährleisten. Insofern bildet die beiliegende Übersicht in der Anlage nur den aktuellen Stand ab. 7. Welchen Bedarf sieht die Landesregierung zukünftig noch für landesgesetzliche Regelungen über den Inhalt des vierten Abschnittes des NDSG (Regelungen zur LfD) hinaus ? Der Bedarf wird derzeit abgestimmt. Im Übrigen siehe Vorbemerkungen. 8. Wie und wann wird die Landesregierung die Richtlinie (EU) 2016/680 vom 27.04.2016 (sogenannte JI-Richtlinie) umsetzen? Welche Fachgesetze sind dabei anzupassen? Von der Richtlinie (EU) 2016/680 sind im Geschäftsbereich der Abteilung 2 des Ministeriums für Inneres und Sport das Niedersächsische Gesetz über die öffentliche Sicherheit und Ordnung (Nds. SOG) sowie gegebenenfalls das Niedersächsische Versammlungsgesetz (NVersG) betroffen. Beide Gesetze sind derzeit Gegenstand von Novellierungsverfahren und befinden sich in den Landtagsberatungen . Hinsichtlich des Nds. SOG hat sich eine Bund-Länder-Arbeitsgruppe (BLAG) des Unterausschusses „Recht und Verwaltung“ (UA RV) des Arbeitskreises II „Innere Sicherheit“ (AK II) der Innenministerkonferenz (IMK) mit der Umsetzung der DSGVO und der Richtlinie (EU) 2016/680 in das nationale Polizeirecht unter Berücksichtigung des Urteils des BVerfG zum BKA-Gesetz vom 20.04.2016 befasst. Der Abschlussbericht vom 24.01.2017 ist vom AK II und der IMK per Umlaufbeschluss (IMK mit Wirkung vom 04.04.2017) zur Kenntnis genommen worden. Die Anpassung der o. g. Fachgesetze soll im Anschluss an die laufenden Novellierungsverfahren unter Berücksichtigung der Ergebnisse dieser BLAG sowie der inhaltlichen Neugestaltung des Niedersächsischen Datenschutzgesetzes durch Anpassung an die DSGVO eingeleitet werden. Ob die Richtlinie (EU) 2016/680 Anpassungen im Recht des Justizvollzugs erfordert, wird gegenwärtig geprüft. 9. Erachtet die Landesregierung eine landesgesetzliche Regelung für behördliche Datenschutzbeauftragte weiterhin für nötig und gegebenenfalls mit welchen Inhalten? Gemäß Artikel 37 Abs. 1 a) der Verordnung (EU) 2016/680 haben Behörden und öffentliche Stellen mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln, einen Datenschutzbeauftragten zu benennen. Zur Notwendigkeit einer landesrechtlichen Regelung kann derzeit noch keine Angabe gemacht werden, siehe Vorbemerkungen. Niedersächsischer Landtag – 17. Wahlperiode Drucksache 17/7865 5 10. Sieht die Landesregierung (weitere) Öffnungsklauseln bzw. Regelungsspielräume im Rahmen der EU-DSGVO, die nicht (gegebenenfalls nicht nur) auf Bundesebene, sondern (gegebenenfalls auch) auf Landesebene auszufüllen sind? Falls ja, für welche dieser Bereiche sollte nach Meinung der Landesregierung eine landesgesetzliche Regelung mit welchem Inhalt erfolgen? Die Kompetenz zum Erlass von Regelungen zur Verarbeitung personenbezogener Daten durch Behörden und sonstige öffentliche Stellen des Landes Niedersachsen obliegt dem Landesgesetzgeber . Im Rahmen der Anpassung an die DSGVO werden dabei gegebenenfalls auch Öffnungsklauseln genutzt, von denen der Bundesgesetzgeber in vergleichbaren Bereichen auf Bundesebene gegebenenfalls keinen Gebrauch macht. Im Übrigen siehe Vorbemerkungen. 11. Wie positioniert sich die Landesregierung in der Frage, ob Bußgelder auch von öffentlichen Stellen erhoben werden sollen? Siehe Vorbemerkungen. 12. Inwieweit erachtet die Landesregierung die Befähigung zum Richteramt und die Beschränkung auf zwei Amtszeiten vor dem Hintergrund der zunehmenden Digitalisierung der datenverarbeitenden Prozesse und der Verdrängung von juristischen Fragestellungen durch technische Fragestellungen weiterhin als angemessen für die Auswahl der/des Landesbeauftragten für den Datenschutz? Der maßgebliche Artikel 53 Abs. 2 EU-DSGVO erfordert nichts Dergleichen. Siehe Vorbemerkungen. 13. Welche Bestrebungen gibt es seitens der Landesregierung, mit der anstehenden Novellierung des Datenschutzrechtes die Grundlagen zu legen, um ein Informationsfreiheitsgesetz für Niedersachsen zu entwickeln? Die Landesregierung hat in der Kabinettssitzung vom 31.01.2017 dem Entwurf eines Transparenzgesetzes für Niedersachsen zugestimmt und beschlossen, den Entwurf zur Verbandsbeteiligung freizugeben sowie den Landtag zu unterrichten. Derzeit werden die Stellungnahmen aus der Verbandsbeteiligung ausgewertet. Es ist beabsichtigt, den Gesetzentwurf noch vor der Sommerpause in den Landtag einzubringen. Zur Umsetzung in den Landesbehörden: 14. Mit welchem zusätzlichen Aufwand rechnet die Landesregierung für die Schulung und Bearbeitung von Anliegen des Datenschutzes in Behörden und öffentlichen Unternehmen ? Die Landesregierung rechnet mit einem zunächst erhöhten Schulungs- und Bearbeitungsaufwand von Anliegen des Datenschutzes in Behörden und öffentlichen Unternehmen durch die Änderungen , die sich für Niedersachsen durch die DSGVO ergeben. Neben grundsätzlichen Informationen wird hier mit zusätzlichem Beratungsbedarf in Einzelfällen gerechnet. Die Zuständigkeit für diese Aufgaben obliegt in erster Linie der LfD. Die DSGVO stärkt die Rechte der von Datenverarbeitungen betroffenen Personen und weist den für die Datenverarbeitung Verantwortlichen umfassende Informationspflichten gegenüber den betroffenen Personen zu, was zu einem erhöhten Aufwand bei diesen Stellen führen dürfte, so auch bei Behörden und öffentlichen Stellen. Neu hinzu kommt durch die DSGVO das Recht auf Löschung personenbezogener Daten auch im Internet als sogenanntes „Recht auf Vergessenwerden“. Mit der Einführung des Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen werden ausdrücklich Anforderungen Niedersächsischer Landtag – 17. Wahlperiode Drucksache 17/7865 6 an die Produktentwicklung und -implementierung gestellt, um eine wirksame Umsetzung dieser Datenschutzgrundsätze zu erreichen. Verletzungen des Schutzes personenbezogener Daten müssen grundsätzlich unverzüglich, nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls, an die zuständige Aufsichtsbehörde gemeldet werden. Hat die Verletzung des Datenschutzes voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge, so sind auch diese unverzüglich von der Verletzung zu benachrichtigen. Birgt die Art der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen, muss der Verantwortliche bereits vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen. Dies ist insbesondere der Fall bei neuen Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung. Konkret bestehen diese Anforderungen insbesondere beim sogenannten Profiling, bei der Verarbeitung besonders sensibler Daten sowie bei einer systematischen umfangreichen Überwachung öffentlich zugänglicher Räume (Videoüberwachung). 15. Inwieweit ist die Landesregierung der Ansicht, dass mit der Verabschiedung der EU- DSGVO bzw. hier angefragter bundes- und landesrechtlicher Regelungen den Kritikpunkten aus der LfD-Veröffentlichung „Eckpunktepapier zur Änderung des Niedersächsischen Datenschutzgesetzes“ von 2013 vollständig abgeholfen wird? Der in dem Eckpunktepapier dargestellte Anpassungsbedarf wird im Wesentlichen bereits durch die Regelungen der DSGVO abgedeckt. Im Übrigen siehe Vorbemerkungen. 16. Ist die Landesregierung der Ansicht, dass die personelle Ausstattung der LfD ausreichend ist, auch unter Berücksichtigung der Tatsache, dass qualifiziertes Personal im Bereich des Datenschutzes kaum kurzfristig gewonnen werden kann, wenn sich ein weiterer Bedarf erst im Rahmen der Umsetzung von EU-DSGVO bzw. verbundener bundes - und landesrechtlicher Regelungen zeigt? Antwort der LfD: Aus Sicht der LfD ist momentan nicht absehbar, ob mit den derzeit zur Verfügung stehenden personellen Ressourcen (s. Stellenplan zum Haushaltsplan 2017/2018) eine den Anforderungen der o. g. Regelungen entsprechende Bearbeitung datenschutzrechtlicher Belange zu bewältigen ist (aktuell sind bei der LfD 43 Personen beschäftigt, ein Teil davon in der inneren Verwaltung). Die Landesregierung weist darauf hin, dass im Rahmen der Haushaltsaufstellung 2017/2018 die Ausstattung der LfD insbesondere mit Rücksicht auf aus der Datenschutz-Grundverordnung entstehenden Mehrbedarfe deutlich verbessert wurde. Das Beschäftigungsvolumen steigt von 35,60 VZE im Jahr 2016 auf 50,25 VZE für das Haushaltsjahr 2018. 17. Welche (weiteren) Herausforderungen erwartet die Landesregierung bei der Umsetzung des novellierten Datenschutzrechtes im Bereich der Landesbehörden und öffentlichen Unternehmen? Antwort der LfD: Mit der Datenschutzreform wird eine Harmonisierung des Datenschutzrechts in Europa angestrebt. Es bedarf einer möglichst einheitlichen Umsetzung der Vorgaben der DSGVO und der RL (EU) 2016/680. Neben Rechtsvorschriften sind Prozesse und Abläufe zu überprüfen und gegebenenfalls anzupassen, z. B. im Hinblick auf die in der DSGVO festgelegten Dokumentationspflichten und erweiterten Informationspflichten gegenüber den von der Datenverarbeitung betroffenen Personen. Bei der fortschreitenden Digitalisierung im Bereich der Landesverwaltung müssen stets die datenschutzrechtlichen Vorgaben beachtet werden (siehe z. B. Artikel 25 DSGVO „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen [Privacy by Design/Privacy Niedersächsischer Landtag – 17. Wahlperiode Drucksache 17/7865 7 by Default])“. Auch die neuen Meldepflichten (siehe Artikel 33 DSGVO) und die Verlagerung von Aufgaben auf den „Verantwortlichen“ (siehe u. a. Artikel 30 und 35 DSGVO) können für viele öffentliche Stellen (z. B. Schulen) neue Herausforderungen darstellen. Dies wird in der Praxis mit einer Vielzahl von neuen Fragestellungen zur Rechtsauslegung einhergehen. Sämtliche Vereinbarungen nach § 81 NPersVG sowie Dienstvereinbarungen nach § 78 NPersVG mit datenschutzrechtlichen Bezug sind dem ab Mai 2018 geltenden Recht anzupassen. Die Landesregierung schließt sich grundsätzlich dieser Einschätzung an. Zur Belastung der Kommunen: 18. Welchen zusätzlichen Aufwand erwartet die Landesregierung für die Schulung und Bearbeitung von Anliegen des Datenschutzes in Kommunen? Die Landesregierung hat die kommunalen Spitzenverbände über den Inhalt der DSGVO sowie den grundsätzlichen Prüf- und Anpassungsbedarf in Niedersachsen bereits schriftlich und mündlich informiert . Einzelheiten hierzu sind noch abzustimmen. Im Übrigen liegt es grundsätzlich in der Eigenverantwortlichkeit der Kommunen im Rahmen der kommunalen Selbstverwaltung, welcher Fortbildungsbedarf im Bereich des Datenschutzes für die Mitarbeiterinnen und Mitarbeiter erkannt wird. Das Zusammenwirken der DSGVO, des Bundesdatenschutzgesetzes und des Niedersächsischen Datenschutzgesetzes lässt nach erster Einschätzung die Notwendigkeit einer näheren Unterweisung der Mitarbeiterinnen und Mitarbeiter erwarten. Im Übrigen siehe Antwort zu Frage 14. 19. Plant das Land Niedersachsen, den Aspekt des Datenschutzes zukünftig proaktiv bei eigenen Angeboten an die Kommunen zu berücksichtigen (z. B. durch Erstellung von Muster-Datenschutz-Folgenabschätzungen für Verfahren im Rahmen des eGovernment )? Hierzu gibt es noch keine abgestimmte Meinung der Landesregierung, siehe auch Vorbemerkung. 20. Erachtet die Landesregierung die Benennung von externen (privaten) Datenschutzbeauftragten , gemeinsamen Datenschutzbeauftragten mehrerer Kommunen oder übergeordnete Datenschutzbeauftragten (z. B. auf Kreisebene) für Kommunen als möglich, angemessen und sinnvoll? Gemäß Artikel 37 Abs. 3 der Verordnung (EU) 2016/679 kann für mehrere Behörden unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden. Inwieweit dies angemessen und sinnvoll ist, ist nach dem jeweiligen Einzelfall zu beurteilen. Aus kommunaler Sicht ist eine Möglichkeit zur Bestellung gemeinsamer Datenschutzbeauftragter zu begrüßen, zumal in kleineren Gemeinden diese spezielle Aufgabe sonst einen erhöhten Personalaufwand bedingen würde. Beitrag der LfD: Das derzeitige Datenschutzkontrollmodell in Niedersachsen verfügt mit den unabhängigen Datenschutzbehörden und den behördlichen bzw. betrieblichen Datenschutzbeauftragten traditionell über eine Kombination aus externer und interner Datenschutzkontrolle (zentraler Datenschutzaufsicht und internen Datenschutzbeauftragten vor Ort), die sich aus Sicht der LfD in der Vergangenheit bewährt hat. Nach Artikel 37 Abs. 3 der ab Mai 2018 geltenden DSGVO können für mehrere Behörden oder sonstige öffentliche Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe eine oder ein gemeinsamer Datenschutzbeauftragter benannt werden. Dies ist für Niedersachsen insofern keine neue Regelung, als dass es bereits jetzt möglich ist, dass öffentliche Stellen nach § 8 a Abs. 1 Satz 2 und 3 NDSG unter dem Vorbehalt des Einvernehmens der ande- Niedersächsischer Landtag – 17. Wahlperiode Drucksache 17/7865 8 ren Stelle eine Person mit der Funktion einer oder eines behördlichen Datenschutzbeauftragten beauftragen können, die nicht der datenverarbeitenden Stelle angehört („externe“ Datenschutzbeauftragte , s. a. Verwaltungsvorschriften Nr. 8. 1 zu § 8 a NDSG). Die Formulierung des § 8 a Abs. 1 Sat7 2 NDSG lässt auch die Bestellung externer privater Datenschutzbeauftragter zu. Zwecks kontinuierlicher Aufgabenwahrnehmung und im Hinblick auf die Informationsbeschaffung zu hausinternen Organisations- und Personalangelegenheiten mit datenschutzrechtlichen Bezug wurde seitens der LfD in der Vergangenheit stets empfohlen, zumindest Ansprechpartner oder Vertretungen vor Ort zwecks sachkundiger Unterstützung der oder des externen Datenschutzbeauftragten für Fälle der Abwesenheit zu benennen. Zu berücksichtigen ist, dass sich Beschäftigte mit Problemen eventuell eher an interne Datenschutzbeauftragte, die sich mit den Problemen im Haus auskennen, als an Außenstehende wenden. Bei der Betrachtung finanzieller Aspekte ist zu beachten, dass sich der Kostenfaktor je nach vereinbartem „Servicelevel“ unterschiedlich gestaltet. In der Gesamtbetrachtung ist festzuhalten, dass bei der Bestellung einer externen Person mit der Funktion einer oder eines Datenschutzbeauftragten nicht die Verantwortung für die Sicherstellung des Datenschutzes abgegeben wird. Die Daten verarbeitende Stelle (zukünftig „der Verantwortliche“) ist auch bei der Beauftragung externer Dienstleister für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich. Es muss darauf Wert gelegt werden, dass eine enge Bindung an den Auftraggeber erfolgt und zeitlich und organisatorisch eine häufige Präsenz des Funktionsträgers sichergestellt wird. Es muss zudem sichergestellt sein, dass die oder der behördliche Datenschutzbeauftragte jederzeit in die Organisation der verantwortlichen Stelle, die Datenverarbeitungs-Verfahren und IT-Projekte „hineinschauen“ kann und jederzeit „sprechfähig“ ist. Zudem bedarf es zumindest der Benennung von Ansprechpartnern oder Vertretern vor Ort zwecks sachkundiger Unterstützung der oder des externen Datenschutzbeauftragten und für Fälle der Abwesenheit. 21. Welche (weiteren) Herausforderungen erwartet die Landesregierung bei der Umsetzung des novellierten Datenschutzrechtes im kommunalen Bereich? Der Referentenentwurf zur Anpassung des Niedersächsischen Datenschutzgesetzes und weiterer Vorschriften zum Datenschutz an die Verordnung (EU) 2016/679 befindet sich noch in der Ressortanhörung (siehe Antwort zu Frage 5). Erwartungen können zu diesem Zeitpunkt daher noch nicht benannt werden. Der Austausch mit den kommunalen Spitzenverbänden umfasst bisher aufgrund des Verfahrensstands zum Gesetzesentwurf noch grundsätzliche Fragestellungen zur DSGVO (siehe Antwort zu Frage 18). Im Übrigen siehe Antwort zu Frage 17. Niedersächsischer Landtag – 17. Wahlperiode Drucksache 17/7865 9 Anlage zu Frage 6 Ressort Vorschrift Regelung StK Nds. Mediengesetz §§ 54, 55 Nds. Pressegesetz § 19 Rundfunkstaatsvertrag §§ 47, 49, 57; länderübergreifende Prüfung ist noch nicht abgeschlossen ZDF-Staatsvertrag §§ 16, 17, 18; länderübergreifende Prüfung ist noch nicht abgeschlossen Deutschlandradio-Staatsvertrag §§ 16, 17, 18; länderübergreifende Prüfung noch nicht abgeschlossen Rundfunkbeitragsstaatsvertrag § 11; länderübergreifende Prüfung noch nicht abgeschlossen NDR-Staatsvertrag §§ 41, 42 Nds. Archivgesetz § 3, § 3 a (neu), 5, 6 § 6 a (neu) MI Nds. Datenschutzgesetz Neufassung des Gesetzes Nds. Beamtengesetz Prüfung der §§ 88 bis 95 Nds. Personalvertretungsgesetz §§ 60, 61; konkreter Anpassungsbedarf wird noch geprüft Nds. Disziplinargesetz §§ 17, 30; konkreter Anpassungsbedarf wird noch geprüft Nds. Rettungsdienstgesetz § 11 Nds. Brandschutzgesetz §§ 35a, 35b (derzeit noch Gesetzentwurf) Nds. Gesetz über das amtliche Vermessungswesen § 3 Nds. Statistikgesetz §§ 1, 8 Nds. Wahlgesetz Konkreter Anpassungsbedarf wird noch geprüft Nds. Gesetz über die öffentliche Sicherheit und Ordnung Konkreter Anpassungsbedarf wird noch geprüft Nds. Versammlungsgesetz Konkreter Anpassungsbedarf wird noch geprüft Glücksspielstaatsvertrag Anpassungsbedarf wird noch länderübergreifend abgestimmt Nds. Glücksspielgesetz § 9 und ggf. weitere Regelungen Nds. Ausführungsgesetz zum Zensusausführungsgesetz §§ 3, 4, 5 Nds. Ausführungsgesetz zum Bundesmeldegesetz §§ 2, 4, 8, 9 Nds. Meldedatenverordnung Konkreter Anpassungsbedarf wird noch geprüft MF Nds. Kirchensteuerrahmengesetz Anpassungsbedarf wird noch geprüft Nds. Spielbankengesetz §§ 10 d, 10 e Nds. Beamtenversorgungsgesetz Anpassungsbedarf wird noch geprüft MS Nds. Berufsqualifikationsfeststellungsgesetz § 17 Nds. Gesetz über Hilfen und Schutzmaßnahmen für psychisch Kranke §§ 25, 27, 32 bis 36 Nds. Maßregelvollzugsgesetz §§ 19, 20, 21 bis 21 b ggf. Verordnung über zugelassene Überwachungsstellen im Bereich der Geräte- und Produktsicherheit §§ 1 und 3 Gesetz über das Leichen-, Bestattungs - und Friedhofswesen § 6 Niedersächsischer Landtag – 17. Wahlperiode Drucksache 17/7865 10 Ressort Vorschrift Regelung MW Nds. Architektengesetz § 7 c und ggf. weitere Regelungen Nds. Ingenieursgesetz § 19 und ggf. weitere Regelungen Nds. Gaststättengesetz Anpassungsbedarf wird noch geprüft MJ Justizvollzugsbereich Anpassungsbedarf wird noch geprüft MK Nds. Schulgesetz § 31 MU Nds. Bodenschutzgesetz § 13 (Ausgegeben am 21.04.2017) Drucksache 17/7865 Kleine Anfrage zur schriftlichen Beantwortung mit Antwort der Landesregierung - Drucksache 17/7584 Datenschutz in Niedersachsen Anfrage der Abgeordneten Jan-Christoph Oetjen, Dr. Stefan Birkner, Jörg Bode und Christian Grascha (FDP) Antwort des Niedersächsischen Ministeriums für Inneres und Sport namens