„Sie konnten zusammen nicht kommen…“: Eine Ballade über die Informationsfreiheit und den hessischen Datenschutz- und Informationsfreiheitsbeauftragten
„… sie konnten zusammen nicht kommen, das Wasser war viel zu tief…“, wird in der mittelalterlichen Ballade von den zwei Königskindern gereimt. An diesen Satz erinnert ein Schriftwechsel zwischen einem Mann aus Hessen und dem Hessischen Datenschutz- und Informationsfreiheitsbeauftragten. Dieser Schriftwechsel und die ihm vorausgehenden Informationen eignen sich, um in mehreren Versen eine moderne Ballade über die schwerwiegenden Mängel in den §§ 80 -89 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) zu verfassen.
Vers 1: Medatixx, ein in Eltville/Hessen ansässiges Unternehmen, das Anbieter von Praxissoftware für Praxen von Ärzt*innen und Psychotherapeut*innen ist, eröffnet derzeit den Inhaber*innen der genannten Praxen die Möglichkeit, gegen eine monatliche Aufwandsentschädigung von – je nach Anzahl der beteiligten Behandler*innen – 30,00 bis 40,00 € anonymisierte Gesundheits- und Behandlungsdaten ihrer jeweiligen Patient*innen zu verkaufen.
Vers 2: Auf der Homepage von Medatixx wurde dazu u. a. wie folgt informiert: „x.panel ermöglicht Anwenderinnen und Anwendern einer Praxissoftware von medatixx eine datenschutzkonforme und anonymisierte Übermittlung von ambulanten Versorgungsdaten… Das Anonymisierungskonzept entspricht den rechtlichen Rahmenbedingungen der Datenschutzgrundverordnung (DSGVO) und des deutschen Bundesdatenschutzgesetzes (BDSG). Es wurde in Abstimmung mit dem Hessischen Beauftragten für Datenschutz und Informationssicherheit erstellt…“
Vers 3: Der Mann liest dies und erinnert sich daran, dass seit Mai 2018 auch in Hessen Informationsfreiheit – mindestens im Bereich der meisten Landesbehörden – besteht. Er wendet sich daher mit einer Bitte um Auskunft an den Hessischen Datenschutzbeauftragten und schreibt: “… Da weder auf der Homepage von Medatixx noch auf der Homepage Ihrer Behörde weitere Informationen zu diesem Vorhaben zu finden sind, möchten wir Sie um eine Stellungnahme zu der Tatsachenbehauptung „ in Abstimmung mit dem Hessischen Beauftragten für Datenschutz und Informationssicherheit“ bitten sowie – auf der Grundlage der §§ 80 – 89 HDSIG um Überlassung einer Kopie Ihrer von Medatixx genannten Stellungnahme bitten.“
Vers 4: Eine Antwort erhält der Mann nach wenigen Tagen. Er wundert sich über ihren Inhalt: „Gegenüber dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) besteht gemäß § 81 Abs. 1 Nr. 3 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) ein Anspruch auf Informationszugang nur insoweit, als er allgemeine Verwaltungsaufgaben wahrnimmt. Die von Ihnen angefragten Informationen fallen in den Kernbereich der Aufsichtstätigkeit des HBDI und sind daher nicht vom Anspruch auf Informationsfreiheit umfasst.“
Vers 5: Dem Mann sind zwar schon einige Ausnahmebestimmungen bekannt, wo Informationsfreiheit in Hessen nicht gilt (Polizei, Landesamt für „Verfassungsschutz“, Städte, Gemeinden und Landkreise – § 81 HDSIG). Das aber ist ihm neu. Er recherchiert und stellt fest: Dass der hessische Datenschutzbeauftragte keinerlei Auskünfte über die Ergebnisse seiner Aufsichts- und Beratungstätigkeit erteilen muss, ist zwar so im HDSIG geregelt. Aber auch hier ist leider festzustellen, dass dies eine (schlechte) hessische Sonderregelung ist. Im Bund und in anderen Bundesländern erteilen die Datenschutz-Aufsichtbehörden unproblematisch Auskünfte über Ergebnisse ihrer Aufsichtstätigkeit, wie ein Blick in die Anfragen zeigt, die über die Plattform FragDenStaat.de gestellt und beantwortet wurden. Vier Beispiele aus den Bund, Baden-Württemberg, Berlin und Nordrhein-Westfalen illustrieren, dass “anderswo“ auch die Datenschutz-Aufsichtsbehörden unter Beachtung datenschutzrechtlicher Vorgaben Auskünfte zu ihrer Prüfungstätigkeit erteilen.
Vers 6: Der damalige Hessische Datenschutzbeauftragte Prof. Dr. Michael Ronellenfitsch hat dies aber entschieden abgelehnt. In einer gemeinsamen Stellungnahme mit dem Präsidenten des Hessischen Rechnungshofs zum Entwurf des HDSIG (dort S. 49) ausdrücklich erklärt, dass „der Gesetzgeber gehalten (sei)… den Hessischen Datenschutzbeauftragten von den Vorschriften über die Informationspflichten grundsätzlich generell auszunehmen und lediglich die Bestimmungen für anwendbar zu erklären, die die Erfüllung der allgemeinen Verwaltungsaufgaben entspricht.“
Vers 7: Der Landesbeauftragte für Datenschutz und Informationsfreiheit in Rheinland-Pfalz vertrat in seiner Stellungnahme zum Entwurf des HDSIG (dort S. 47) eine völlig konträre Auffassung: „Nicht ersichtlich sind die Gründe für eine Bereichsausnahme für den Landesbeauftragten für den Datenschutz und die Informationsfreiheit. Dessen Interessen werden durch die Schutzbestimmungen gewahrt. Unsere Erfahrung hinsichtlich der praktischen Geltung des LTranspG RLP zeigt, dass die Glaubwürdigkeit des Informationsfreiheitsbeauftragten gestärkt wird, wenn auch er auskunftspflichtige Stelle im Sinne des Informationsfreiheitsgesetzes ist. Deshalb wird hier angeregt, eine grundsätzliche Informationspflicht zu normieren, die ggf. hinsichtlich der Kontrolltätigkeit eingeschränkt werden könnte.“
Vers 8: Auch der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg hat in seinem Vorschlag für ein Transparenzgesetz Baden-Württemberg in § 4 die Datenschutz-Aufsichtsbehörde in die Transparenzpflichten einbezogen.
Die acht Verse dieser modernen Ballade belegen, dass das Informationsfreiheitsrecht in Hessen – verglichen mit den Informationsfreiheits- und Transparenzgesetzen des Bundes der anderen Bundesländern – zu Recht mit der roten Laterne ausgezeichnet wurde und weit abgeschlagen auf dem letzten Platz in der Tabelle landet.