Ein IT-Gesetz für die Justiz in Baden-Württemberg!

19. September 2022| LV Baden-Württemberg

Das Problem

Die Arbeit der Judikative ist inzwischen weitgehend digitalisiert. Die hierbei anfallenden Justizdaten werden von der Landesoberbehörde IT Baden-Württemberg (BITBW) verwaltet, somit von der Exekutive. Diese bedient sich wegen ihrer unzureichender Personalausstattung in weitem Umfang privater Dienstleister für die Erledigung ihrer Arbeit.

Die BITBW untersteht der Fachaufsicht des Justizministeriums, soweit es um die Informationstechnik von fachspezifischen Verfahren der Justiz geht. Die Fachaufsicht für die Verfahrensdaten der Justiz, also die Daten, die innerhalb der einzelnen Gerichts- oder Ermittlungsverfahren erhoben werden, steht den jeweiligen Gerichten und Staatsanwaltschaften zu. Nicht geregelt ist, wer die BITBW bei der Verwaltung der anderen in der Justiz anfallenden Daten kontrolliert (Emails, Konferenzsysteme, Dateien auf persönlichen Laufwerken, Justizverwaltungsdaten inklusive persönlicher Daten der Beschäftigten etc.). Die Aufzeichnung von Zugriffen auf Daten der Justiz und etwaige Meldestrukturen sind nur geregelt für Zugriffe der BITBW oder Dritter, soweit die BITBW davon Kenntnis erhält, und allein für Inhaltsdaten (nicht aber für Metadaten).
Faktisch haben die Administratoren der BITBW und ihrer Subunternehmer direkte, das Justizministerium und die Präsidenten/Ltd. Oberstaatsanwälte jedenfalls (über Weisungen an die BITBW) indi-rekte Zugriffsmöglichkeiten auf die justiziellen Daten.

Die zunehmende Digitalisierung aller Arbeitsvorgänge eröffnet die technische Möglichkeit, Metadaten über die richterliche Arbeit zu sammeln, aber auch inhaltlich auf richterliche und staatsanwaltschaftliche Dokumente zuzugreifen, etwa durch systematischen Suche, Einsichtnahme und Änderung. Es ist auch nicht so, dass kein Interesse an den erzeugten Daten bestünde oder dass es keine Möglichkeit des Zugriffs darauf gebe. Digitale Datenverarbeitung schafft digitale Zugriffsmöglichkeiten, auch wenn – man denke nur an Smartphones –nicht einmal zu erkennen ist, dass Daten überhaupt anfallen. Zudem lehrt die Erfahrung, dass vorhandene Daten irgendwann auch genutzt werden. Gerade in Zeiten politischer Unsicherheit und großer gesellschaftlicher Dynamik kann nicht da-von ausgegangen werden, dass auf Dauer wohlmeinende Personen an den datensensiblen Stellen und Schalthebeln sitzen. Bereits jetzt verlangen Konstellationen nach einer Antwort, wie sie den folgenden Beispielen entnommen werden können:

Ein Beschäftigter der BITBW möchte herausbekommen, ob gegen seinen neuen Nachbarn, der ihn mit asozialem Verhalten nervt, bereits ein Strafverfahren lief. Er beabsichtigt, sich diese Daten über seine Tätigkeit bei der BITBW illegal zu verschaffen.

Der Controller eines Gerichts möchte heimlich die Wohnortdaten einer Richterin herausbekommen, die ein Verfahren wegen der umstrittenen Nutzung eines Saales durch eine Neonazi-Gruppe zugunsten des Saalvermieters entschieden hatte. Diese Daten möchte er seinen Kumpels von der „Rechten Front“ weitergeben, die bedrohliche Emails an kritische Menschen verschicken.

Ein Staatsanwalt soll nach dem Willen seiner Behördenleiterin wegen Rechtsbeugung verfolgt werden, nachdem er zwei Verfahren verjähren ließ. Hierfür will die Leitende Oberstaatsan-wältin über die Dauer von zwei Monaten heimlich erfassen, zu welchen Uhrzeiten an welchen Tagen der Staatsanwalt sein „WebStA“ genanntes Fachverfahren nutzt, damit der Staatsanwalt sich nicht auf Arbeitsüberlastung berufen kann.

Können diese Datenzugriffe technisch gelingen? Wenn ja, werden sie irgendwo protokolliert? Wenn ja, wer überprüft die Zugriffsprotokolle wie?

 

Die Verarbeitung von Justizdaten bedarf vor diesem Hintergrund einer besonderen Kontrollinstanz. Hierzu entschied der Hessische Dienstgerichtshof für Richter schon 2010:

 

„Die Verwaltung eines zentralen EDV-Netzes, an welches der Arbeitsplatz von Richtern ange-schlossen ist, durch Behörden der Exekutive unter der Fachaufsicht des Justizministers beeinträchtigt nur dann nicht die richterliche Unabhängigkeit, wenn die Behandlung von Dokumenten des richterlichen Entscheidungsprozesses zum Schutz vor einer Kenntnisnahme durch Dritte schriftlich geregelt und deren Einhaltung durch den Minister der Justiz im gleichberechtigten Zusammenwirken mit gewählten Vertretern der Richterschaft überprüft werden kann.“
(Hessischer Dienstgerichtshof für Richter, Urteil vom 20. April 2010 – DGH 4/08 –; bestätigt durch den Dienstgerichtshof für Richter beim Bundesgerichtshof, Urteil vom 06. Oktober 2011 – RiZ (R) 7/10 –, und vom Bundesverfassungsgericht, Nichtannahmebeschluss vom 17. Januar 2013 – 2 BvR 2576/11 –).

Der Anlass

 

Eine solche Kontrollinstanz sollte 2015 in Baden-Württemberg durch § 1 Abs. 6 des Gesetzes zur Errichtung der Landesoberbehörde IT Baden-Württemberg (BITBWG) vom 12. Mai 2015 geschaffen werden, ergänzt durch die VwV IT-Kontrolle Justiz v. 15.07.2016.
Die nach dieser Regelung zu bildende IT-Kontrollkommission besteht aus vier Personen: Den Vorsitz führt ein Mitarbeiter bzw. eine Mitarbeiterin der Abteilung Information und Kommunikation (IUK) des Justizministeriums. Mitglieder sind eine RichterIn und eine StaatsanwältIn, die vom Landesrichter- und Staatsanwaltsrat, sowie eine RechtspflegerIn, die vom Hauptpersonalrat entsendet werden.

Die Kontrollkommission hat keine eigenen Rechte, sondern wirkt lediglich bei der Geltendmachung und Ausübung von Auskunfts- und Einsichtsrechten des Ministeriums gegenüber der BITBW mit (Beratung und Mitsprache). Eine Kontrolle der Zugriffe der Justizverwaltung selbst auf die IT-Systeme ist ohnehin von vornherein nicht vorgesehen. Die Kontrollkommission informiert die Justizöffentlichkeit nicht über ihre Tätigkeit, im Gegenteil sind die Mitglieder zur Vertraulichkeit verpflichtet und dürfen Inhalte der Sitzungen nur mit Zustimmung der IuK-Leitstelle an die sie entsendenden Gremien weitergeben. Die Mitglieder werden in keiner Weise freigestellt. Weder gibt es einen Fortbildungsanspruch noch können sie (externe) Expertise einholen. Damit ist es den gewählten Justizvertretern rechtlich und faktisch unmöglich, die BITBW hinreichend fachkundig zu kontrollieren. Dies wird schon daraus deutlich, dass bis heute das in der Verwaltungsvorschrift (Ziff. 2.3.1.) vorgeschriebene Betriebskonzept nicht erarbeitet wurde, mit dem die Zulässigkeit von Maßnahmen der BITBW geregelt werden soll, die zur Kenntnisnahme des Inhalts von Dateien der Justiz durch Beschäftigte der BITBW führen oder führen können oder die die Weitergabe von Dateien der Justiz an Dritte erfordern.

Es ist also erkennbar notwendig und auch verfassungsrechtlich geboten, die Kontrolle über den Umgang mit den in der Judikative anfallenden Daten zu verbessern.
Die VwV IT-Kontrolle Justiz tritt am 31. Juli 2023 außer Kraft. Statt eines Neuerlasses bietet es sich an, die Regelungen über eine IT-Kontrollkommission für die Justiz insgesamt zu überarbeiten und auf eine neue gesetzliche Grundlage zu stellen. Die Regelungen im BITBW-Gesetz sind zu eng gefasst. Außerdem erlaubt Die derzeitige Rechtslage erlaubt keine effektive Kontrolle der Datenverwaltung in den IT-Systemen der Justiz in Baden-Württemberg.

 

Die Lösung

 

Baden-Württemberg hat sich bislang für die restriktivste und auch verfassungsrechtlich problematische Form der Kontrolle entschieden. Das sollte anlässlich des Auslaufens der VwV IT-Kontrolle Justiz geändert und die Rechtslage mit einem eigenen IT-Justizgesetz auf den aktuellen Stand gebracht werden. Hierfür gibt es bereits gute und in der Praxis seit langem umgesetzte Regelungen in anderen Bundesländern, die als Vorbild dienen können (§ 5 IT-Gesetz für die Justiz des Landes Schleswig-Holstein, § 6 IT-Justizgesetzes Hamburg i. V. m. d. IT-Justizverordnung, § 7 Justiz-IT-Gesetz Sachsen-Anhalt).

 

Kernpunkte einer gesetzlichen Neuregelung sollten insbesondere sein:

 

  • Organisatorische Trennung der IT-Strukturen von der Landesverwaltung
  • Einbeziehung des gesamten IT-Systems (nicht nur Datenhoheit und Kontrolle, sondern auch in Bezug auf die Datensicherheit i. w. S.)
  • Fachaufsicht mit Auskunfts- und Weisungsrecht der Gerichte und Staatsanwaltschaften bezüglich ihrer Ver-fahrensdaten und der von ihnen angelegten Dokumente einschließlich Kommunikationsdaten (E-Mail, Mes-sengerdienste, Konferenz-Systeme etc.)
  • Verbot jeglicher Einsichtnahme in die Tätigkeit durch die Exekutive (Ausnahmen zur Aufrechterhaltung und Sicherung des laufenden Betriebs, im Rahmen der Dienstnachschau und mit Zustimmung des Anwenders)
  • Zugriffsprotokollierung und automatisierte Benachrichtigung
  • Erstellung eines Betriebs- und Sicherheitskonzepts
  • Einrichtung einer unabhängigen IT-Kontrollkommission (IT-KoKo)
    o Kontrollmöglichkeiten gegenüber der gesamten Exekutive einschließlich der Justizverwaltung
    o Unmittelbare Auskunfts- und Einsichtsrechte der IT-KoKo
    o Verfassung der IT-KoKo, bei der Kontrollmaßnahmen nicht mehrheitlich abgelehnt werden können, sondern jede Berufsgruppe ein für sie  eigenständiges Antragsrecht hat; Verwaltung hat kein Stimmrecht
    o Ausreichende sachliche, finanzielle und organisatorische Ausstattung mit eigenem Budget und (Teil-) Freistellung für die Mitglieder
    o Recht, Beratungsleistungen von Landesbediensteten, dem Landesbeauftragten für Datenschutz o-der im Rahmen des Budgets in Anspruch zu nehmen
    o Information der IT-KoKo und der betroffenen Stellen über sicherheitsrelevante Vorfälle
    Jährlicher Tätigkeitsbericht
Datei zum Download: PDF herunterladen
Alle Meldungen