24.07.2018 Drucksache 6/6013Thüringer LandTag 6. Wahlperiode Druck: Thüringer Landtag, 16. August 2018 Fehlende Umsetzung einer Once-Only-Verarbeitungsbefugnis im Thüringer Datenschutz -Anpassungs- und -Umsetzungsgesetz EU (ThürDSAnpUG-EU)? Die Kleine Anfrage 3080 vom 1. Juni 2018 hat folgenden Wortlaut: Der Aus- und Aufbau einer bundesweiten kundenorientierten E-Government-Infrastruktur erfordert die Berücksichtigung obligatorischer Erfolgskriterien nach dem Vorbild der E-Commerce-Welt. Die Nutzungsbereitschaft durch Verwaltungskunden sowie die Effizienz der E-Government-Gesamtarchitektur werden maßgeblich vom Aufwand bestimmt, den die Nutzer auf sich nehmen müssen, um mit der Verwaltung zu interagieren. Der in Weimar stattgefundene Fachkongress des IT-Planungsrates befand die Umsetzung des sogenannten Once-Only-Prinzips innerhalb der bundesweit aufzubauenden E-Government-In-frastruktur als besonders nützlich, welches darauf abzielt, dass Verwaltungskunden bestimmte Standardinformationen ihrer Verwaltung nur noch einmal mitteilen müssen, da zukünftig die Verwaltungen untereinander diese Informationen austauschen. Da ein solcher Austausch dem Grundsatz der Datensparsamkeit und Zweckbindung zuwiderläuft , wurden in § 17 Abs. 1 und 2 ThürDSAnpUG-EU Ausnahmetatbestände definiert, die eine zweckändernde Weiterverarbeitung personenbezogener Daten nach Einwilligung der betroffenen Person zulassen. Ich frage die Landesregierung: 1. Sind die Ausnahmetatbestände zur grundsätzlichen zweckgebundenen Datenverarbeitung im Thüringer Datenschutz-Anpassungs- und -Umsetzungsgesetz EU ausreichend, um eine im Sinne des Once-Only- Prinzips belastende oder begünstigende Verwaltungsentscheidung für den Verwaltungskunden herbeizuführen und wie begründet sie ihre Auffassung? 2. Schließt sich die Landesregierung der Meinung an, dass nach Lesart des Thüringer Datenschutz-Anpassungs - und -Umsetzungsgesetzes EU der Verwaltungskunde eine Vielzahl an Einwilligungen abgeben muss, sofern er nach Lebenslagen gebündelte Verwaltungsleistungen aus einer Hand begehrt, wenn ja, würde eine dedizierte Rechtsvorschrift gemäß Artikel 6 Abs. 4 Datenschutz-Grundverordnung zur Regelung , welche Behörde welche Daten unter welchen Bedingungen verarbeiten darf, Abhilfe schaffen, und wenn nein, wie begründet sie ihre Auffassung? 3. Eignet sich die aktuelle inhaltliche Ausgestaltung des Thüringer Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU, um die Ziele des Verordnungsentwurfs "Digitales Zugangstor" der EU-Kommission zu verwirklichen und wenn nein, welche Regelungen und Maßnahmen müssen hierfür ergriffen werden? K l e i n e A n f r a g e des Abgeordneten Krumpe (fraktionslos) und A n t w o r t des Thüringer Ministeriums für Inneres und Kommunales 2 Thüringer Landtag - 6. WahlperiodeDrucksache 6/6013 4. Wurde während der Genese des Thüringer Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU mit anderen Bundesländern korrespondiert, um eine länderübergreifende Umsetzung des Once-Only- Prinzips aufgrund harmonisierter Datenschutzregelungen zu erreichen und wenn ja, welcher Grad an Harmonisierung wurde erreicht? Das Thüringer Ministerium für Inneres und Kommunales hat die Kleine Anfrage namens der Lan desregierung mit Schreiben vom 20. Juli 2018 wie folgt beantwortet: Zu 1.: Primär unterliegen die personenbezogenen Daten nach den Vorgaben des Artikels 5 Abs. 1 Buchst. b der Verordnung (EU) 2016/679 einer Zweckbindung. Die Regelung der Verarbeitung personenbezogener Daten zu anderen Zwecken, als zu denen sie erhoben wurden, ist in § 17 Thüringer Datenschutzgesetz (ThürDSG) vom 6. Juni 2018 (GVBl. S. 229) geregelt. Dieser enthält zugleich eine Öffnungsklausel dahingehend, dass - wie schon nach bisheriger Rechtslage - auch spezialgesetzliche Regelungen Rechtsgrundlagen zur Verarbeitung der Daten zu anderen Zwecken enthalten können. Damit werden die verbindlichen europarechtlichen Vorgaben der Artikel 6 und 23 der Verordnung (EU) 2016/679 in Landesrecht umgesetzt. Dagegen befindet sich die Verordnung des Europäischen Parlaments und des Rates über die Einrichtung eines zentralen digitalen Zugangstors zu Informationen, Verfahren, Hilfs- und Problemlösungsdiensten und zur Änderung der Verordnung (EU) Nr. 1024/2012 noch im Entwurfsstadium und enthält damit aktuell weder konkrete Regelungsaufträge noch Vorgaben an die nationalen Gesetzgeber. In der Fassung des Vorschlags vom 2. Mai 2017 beinhaltet sie gleichwohl sowohl in Erwägungsgrund 40 als auch in Artikel 29 die verbindliche Vorgabe, dass die Verarbeitung personenbezogener Daten durch die Behörden im Einklang mit der Datenschutz-Grundverordnung erfolgen muss. Vom europäischen Gesetzgeber beziehungsweise vom künftigen Anwender der Verordnung "Digitales Zugangstor " muss gewährleistet werden, dass das Prinzip der Datensparsamkeit und der Zweckbindung sowie andere in der Verordnung (EU) 2016/679 enthaltene Rechte des Betroffenen Berücksichtigung finden, sobald die Verordnung "Digitales Zugangstor" verabschiedet und in Kraft getreten ist. Es war also nicht notwendig, das Anpassungsgesetz an die Verordnung (EU) 2016/679 mit der Zielrichtung, betroffene Personen vor ausufernder Datenverarbeitung zu schützen, mit den Anforderungen des Once- Only-Prinzips eines Verordnungsentwurfs bereits im Vorhinein abzugleichen. Dies kann im Bedarfsfall zu einem späteren Zeitpunkt durch den Thüringer Gesetzgeber unter Berücksichtigung aktueller Entwicklungen und der bis dahin ergehenden Rechtsprechung erfolgen. Zu 2.: Bei der Einwilligung der betroffenen Person handelt es sich nach Artikel 6 Abs. 1 der Verordnung (EU) 2016/679 um eine von mehreren alternativen Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten. Die konkreten Bedingungen für eine Einwilligung sind in Artikel 7 der Verordnung (EU) 2016/679 normiert. Artikel 7 Abs. 2 der Verordnung (EU) 2016/679 regelt ausdrücklich, dass im Falle einer Einwilligung durch schriftliche Erklärung der betroffenen Person, die noch andere Sachverhalte betrifft , das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen muss, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Dies bedingt eine einzelfallbezogene Entscheidung der zur Einwilligung auffordernden Stelle, ob Einwilligungen zu mehreren Sachverhalten in einem Dokument zusammengefasst werden können und entzieht sich damit einer pauschalen Beantwortung der gestellten Frage. Dies spiegelt sich auch im Thüringer E-Government -Gesetz (ThürEGovG) vom 10. Mai 2018 (GVBl. S. 212) wider, welches auch auf das Instrument der Einwilligung zugreift. So ist bei bestehenden Servicekonten nach § 7 Abs. 3 vor jeder Verwendung in einer E-Government-Anwendung eine Einwilligung durch den Nutzer zur Verarbeitung seiner Identitätsdaten für die konkrete Anwendung zu erteilen. Ein Abruf von personenbezogenen Daten aus dem Servicekonto ist nach § 8 Abs. 3 Satz 1 und 2 im Einzelfall mit Einwilligung des Nutzers zulässig. Die Einwilligung muss dabei den datenschutzrechtlichen Anforderungen entsprechen. Zu 3.: Das Thüringer Datenschutz-Anpassungs- und -Umsetzungsgesetz EU setzt die Vorgaben der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 in Landesrecht um. Die in der Fragestellung in Bezug genommene Verordnung befindet sich - wie bereits in der Beantwortung der Frage 1 dargelegt - noch im Ent- 3 Drucksache 6/6013Thüringer Landtag - 6. Wahlperiode wurfsstadium und kann damit derzeit noch nicht im nationalen Gesetzgebungsverfahren berücksichtigt werden. Erforderlich werdende Maßnahmen lassen sich erst nach amtlicher Bekanntmachung der abschließenden Fassung dieser Verordnung ermitteln. Zu 4.: Ein Länderaustausch auf Arbeitsebene hat mit der Zielstellung des Meinungsaustauschs zur Umsetzung der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 in Landesrecht stattgefunden. In Vertretung Höhn Staatssekretär Fehlende Umsetzung einer Once-Only-Verarbeitungsbefugnis im Thüringer Daten-schutz-Anpassungs- und -Umsetzungsgesetz EU (ThürDSAnpUG-EU)? Ich frage die Landesregierung: Zu 1.: Zu 2.: Zu 3.: Zu 4.: