Datenschutzfolgen-Abschätzung öffentlich?
Ein Petent bat um Vermittlung hinsichtlich einer Anfrage zur Datenschutz-Folgenabschätzung sowie zum Datenschutz- und Informationssicherheitskonzept zur Videoüberwachung auf dem Schweriner Marienplatz gemäß § 14 Informationsfreiheitsgesetz Mecklenburg-Vorpommern (IFG M-V). Er hatte diesbezüglich einen ablehnenden Bescheid vom Polizeipräsidium (PP) Rostock erhalten. Zur Begründung hatte das PP Rostock die Ablehnung auf § 6 Abs. 6 IFG M-V sowie auf § 5 Nr. 4 IFG M-V gestützt.
Nach § 6 Abs. 6 IFG M-V ist der Antrag auf Informationszugang abzulehnen, wenn zu befürchten ist, dass durch das Bekanntwerden der Informationen der Erfolg behördlicher Maßnahmen, insbesondere von Überwachungs- und Aufsichtsmaßnahmen, von ordnungsbehördlichen Anordnungen oder Maßnahmen der Verwaltungsvollstreckung, gefährdet oder vereitelt sowie die ordnungsgemäße Erfüllung der Aufgaben der betroffenen Behörde erheblich beeinträchtigt würde.
Das Polizeipräsidium hatte argumentiert, dass die Geheimhaltung der von dem Antragsteller geforderten Datenschutz-Folgenabschätzung sowie der aktuellen Fassung des Datenschutz- und Informationssicherheitskonzeptes der Bildüberwachungsanlage auf dem Schweriner Marienplatz maßgebliche Voraussetzung für den Erfolg dieser Maßnahme sei. Bei Herausgabe der Dokumente, die spezifische Angaben zum Schutz der technischen Anlage sowie der verarbeiteten personenbezogenen Daten enthalten, wäre die ordnungsgemäße Aufgabenerfüllung gefährdet. Zudem sah das PP den Ablehnungsgrund des § 5 Nr. 4 IFG M-V als einschlägig an, ohne dies allerdings zu begründen.
Der Antragsteller hielt diese Argumentation für nicht tragfähig, weil auf Basis der angefragten Unterlagen der Schutz und die störungsfreie Durchführung der Polizeimaßnahmen geplant worden seien und deshalb ein befürchteter Eingriff oder eine Vereitelung der Überwachung gar nicht stattfinden könne.
Aus informationsfreiheitsrechtlicher Sicht wurde der Sachverhalt wie folgt bewertet:
Die Begründung des PP Rostock zur Ablehnung der Herausgabe der Informationen, hier: Datenschutz-Folgenabschätzung und Sicherheitskonzept (Datenschutz- und Informationssicherheitskonzept) ist dürftig. Teilweise wird lediglich der Gesetzeswortlaut wiederholt. Jedoch wäre dem Antragsteller nicht damit gedient gewesen, wenn wir das PP Rostock aufgefordert hätten, die Ablehnung der Herausgabe der Informationen besser zu begründen. Dessen Ziel, die Unterlagen zu erhalten, würde dadurch jedenfalls nicht erreicht. Im Ergebnis war die Aufsichtsbehörde ebenfalls der Auffassung, dass letztlich Verweigerungsgründe nach dem IFG M-V einschlägig sind.
Nach § 6 Abs. 6 IFG M-V ist der Antrag auf Informationszugang abzulehnen, wenn zu befürchten ist, dass durch das Bekanntwerden der Informationen der Erfolg behördlicher Maßnahmen erheblich beeinträchtigt würde. Das ist vorliegend auch der Fall. Datenschutzkonzepte, die technische und organisatorische Maßnahmen nach Art. 24, 25, 32 Europäische Datenschutz-Grundverordnung (DSGVO) enthalten, oder auch eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO beschreiben zunächst die Risiken der Verarbeitung und sollen dann Maßnahmen zur Eindämmung dieses Risikos festlegen. Damit sind in diesen Dokumenten aber regelmäßig auch die Schwachstellen einer Datenverarbeitung aufgelistet, mit deren Bekanntwerden Angriffe auf die jeweilige Datenverarbeitung gezielt vorbereitet werden könnten. Vor diesem Hintergrund sind auch nach der Wertung der DSGVO diese Informationen gegenüber der betroffenen Person nicht zwingend transparent zu machen. Weder im Rahmen der Informationspflichten nach Art. 13, 14 DSGVO noch bei Ausübung des Auskunftsrechts erstreckt sich der notwendige Inhalt der zu erteilenden Informationen auch auf die vom Antragsteller erbetenen Dokumente. Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO, das regelmäßig ein Datenschutzkonzept als Anlage enthält, ist ebenfalls nicht öffentlich zugänglich. Das schließt natürlich nicht aus, dass Verantwortliche, also beispielsweise Unternehmen, Datenschutzkonzepte veröffentlichen, um auch mit der Sicherheit der jeweiligen Datenverarbeitung zu werben. Verpflichtet sind die Unternehmen dazu nicht.
Um betroffenen Personen dennoch hinreichend Möglichkeiten zu bieten, eine Datenverarbeitung auch auf ihre Sicherheit hin zu überprüfen bzw. überprüfen zu lassen, besteht nach Art. 77 DSGVO ein Beschwerderecht für Personen, die von einer Datenverarbeitung betroffen sind. Dieses verpflichtet die Datenschutzaufsichtsbehörde, in Mecklenburg-Vorpommern den Landesbeauftragten für Datenschutz und Informationsfreiheit, tätig zu werden. Die Datenschutzaufsichtsbehörde hat nach der DSGVO sehr weitreichende Untersuchungs- und Abhilfebefugnisse und kann, beispielsweise im Rahmen der Bearbeitung einer Beschwerde, auch sensible Unterlagen, wie eine Datenschutz-Folgenabschätzung, von dem Verantwortlichen anfordern. Die betroffene Person, die die Beschwerde erhoben hat, würde dann zwar nicht über den Inhalt der Dokumente detailliert in Kenntnis gesetzt, aber über den Ausgang der Bearbeitung der Beschwerde informiert werden. Diese Information enthält dann regelmäßig auch eine Bewertung, ob die in Rede stehende Datenverarbeitung datenschutzkonform, also zulässig und sicher, ist.
Quelle: LfDI M-V
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks