Rechtsanwältin, bis zum 30. September 1990 Geschäftsführerin derGesellschaft für Datenschutz und Datensicherung e.V., Bonn

Kurz vor dem Ende der laufenden Legislaturperiode ist die Novellierung des Bundesdatenschutzgesetzes (BDSG) doch noch zustande gekommen. Zahlreiche Änderungsentwürfe waren seit 1980 eingebracht, aber nicht realisiert worden. Beim jüngsten Anlauf, der schließlich zum Erfolg führte, mußten zunächst koalitionsinterne Kompromisse erarbeitet werden. Dem darauf basierenden Gesetzesbeschluß des Deutschen Bundestages stimmte der Bundesrat nicht zu - die Mehrheitsverhältnisse hatten sich dort zwischenzeitlich zugunsten der SPD-regierten Länder geändert -, sondern rief den Vermittlungsausschuß an. Dieses paritätisch aus Mitgliedern des Bundestages und des Bundesrates besetzte Gremium bot schließlich eine Lösung an, die sowohl für den Bundestag, der die vorgeschlagenen Änderungen am 19. September 1990 beschloß, als auch für den Bundesrat, der seine Zustimmung am 21. September 1990 erteilte, tragbar ist.

Der politisch gefundene Konsens ist aus Sicht der Wirtschaft in mehrfacher Hinsicht positiv zu bewerten. Zum einen hat die langjährige, zum Teil ermüdende Diskussion um die gesetzgeberisch aus Gerichtsentscheidungen, insbesondere dem sogenannten "Volkszählungsurteil" des Bundesverfassungsgerichts, zu ziehenden Konsequenzen ihren vorläufigen Abschluß gefunden. Zum anderen wird der notwendigen Differenzierung zwischen der Datenverarbeitung im öffentlichen und im nichtöffentlichen Bereich deutlich Rechnung getragen. Dies zeigt sich speziell an den wichtigen Regelungen, die die Akten, die Verarbeitungsphase "Datenerhebung" und die Haftung betreffen.

Das Anlegen und Führen von Akten in privatwirtschaftlichen Unternehmen fällt wie bisher nicht unter den Geltungsbereich des BDSG, solange in den Akten nicht personenbezogene Daten enthalten sind, die offensichtlich einer Datei entstammen. Damit soll lediglich verhindert werden, daß das BDSG umgangen wird, indem dateimäßig verarbeitete Daten in Akten aufbewahrt werden. Der Gesetzgeber hat sich damit derAuffassung der Gesellschaft für Datenschutz und Datensicherung (GDD) und anderer Wirtschaftsverbände angeschlossen, daß die "klassische" Aktenführung nicht mit der modernen, automatisierten Datenverarbeitung gleichzusetzen ist, weil hierbei die EDV-typischen Gefährdungen gerade nicht gegeben sind. Außerdem wird ein unnötiger bürokratischer Aufwand vermieden, der angesichts der Millionen aktenartiger Geschäftsunterlagen in der Privatwirtschaft zwangsläufig mit einer Einbindung der Akten in das BDSG verbunden wäre.

Aufgrund der Beschlußfassung des Vermittlungsausschusses ist die Erhebung von Daten durch private Stellen gesetzlich berücksichtigt worden. Der Forderung von seiten der Wirtschaft, die Beschaffung von Daten als notwendige Voraussetzung für jedes freie, das heißt auch unternehmerische Handeln keinen Restriktionen zu unterwerfen, wurde dabei entsprochen. Die Regelung konzentriert sich auf das allgemeine Gebot, personenbezogene Daten nach Treu und Glauben und auf rechtmäßige Weise zu erheben. Damit werden bereits bestehende Rechtsgrundsätze aufgegriffen und im datenschutzrechtlichen Kontext hervorgehoben.

Im Gegensatz zum öffentlichen Bereich wurde auf die Einführung einer Gefährdungshaftung im privatrechtlichen Sektor verzichtet. Damit fand der grundlegende Umstand Berücksichtigung, daß der Bürger über die Offenlegung seiner Daten dem Staat gegenüber in der Regel nicht frei befinden kann und es insofern unter Umständen eines Korrelats bedarf, während sich im nicht öffentlichen Bereich grundsätzlich gleichrangige Rechtssubjekte gegenüberstehen mit der Folge, daß der einzelne prinzipiell selbst entscheidet, wem er welche Daten mitteilt. Zudem konnte die Notwendigkeit für die Einführung einer Gefährdungshaftung nicht dargelegt werden, da keine Fälle aufgezeigt wurden, die nicht nach dem geltenden allgemeinen Schadensersatzrecht reguliert werden konnten. Es bleibt daher im privatrechtlichen Bereich bei der verschuldensabhängigen Haftung. Im Hinblick auf die Komplexität der Verarbeitungsvorgänge ist allerdings zugunsten des Betroffenen eine Beweislast-Umkehr vorgesehen - eine angemessene und zweckdienliche Regelung.

Die GDD begrüßt ausdrücklich die weitgehende gesetzliche Unterstützung der betrieblichen Datenschutzbeauftragten. Der Gesetzgeber verlangt künftig von der speichernden Stelle, dem betrieblichen Datenschützer die erforderlichen personellen und sachlichen Hilfsmittel zur Verfügung zu stellen, und räumt ihm ferner einen besonderen Kündigungsschutz ein. Darin ist eine Stärkung der betrieblichen Selbstkontrolle zu sehen, für die die GDD seit jeher plädiert hat. Es hat sich aufgrund der langjährigen Erfahrungen vieler Datenschutzbeauftragter gezeigt, daß eine eigenverantwortliche Selbstkontrolle zumeist detaillierter und effektiver funktioniert als staatliche Überwachung.

Wenn auch die wesentlichen Forderungen und Vorstellungen der Wirtschaft an eine Novellierung des BDSG ihren Niederschlag gefunden haben, konnten dennoch nicht alle Punkte realisiert werden. So liegt dem BDSG nach wie vor das sogenannte Verbotsprinzip zugrunde, nach dem die Verarbeitung personenbezogener Daten grundsätzlich verboten und nur bei Vorliegen eines der Erlaubnis-Tatbestände gestattet ist. Nach Auffassung der GDD widerspricht dies der Sozialadäquanz des zu regelnden Sachverhalts, denn die Datenverarbeitung ist ein übliches und sogar unerläßliches Hilfsmittel zur Erreichung der eigentlichen Geschäftsziele geworden. Die Verstärkung des Zweckbindungsprinzips, insbesondere im Hinblick auf den Datenempfänger, erscheint als eine aus Gründen des Persönlichkeitsrechtsschutzes jedenfalls nicht zwingend erforderliche Einengung der allgemeinen Handlungsfreiheit des DV-Anwenders.

Die Regelung der Datennutzung stellt ferner eine erhebliche Ausweitung des Anwendungsbereichs des BDSG dar. Da die Definition sehr weit gefaßt ist: "Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt" (° 3 Abs. 6), sind die Grenzen des BDSG insoweit unklar. Ein Novum ist auch, daß die Aufsichtsbehörden Sanktionsmöglichkeiten an die Hand bekommen. Diese betreffen zum einen Maßnahmen zur Beseitigung technischer und organisatorischer Mängel, zum anderen die Abberufung des betrieblichen Datenschutzbeauftragten bei fehlender Fachkunde oder Zuverlässigkeit.

Schließlich ist darauf hinzuweisen, daß auf Anregung des Vermittlungsausschusses auch die Verarbeitung und Nutzung solcher Daten, die listenmäßig für Werbe- oder Marktforschungszwecke übermittelt werden dürfen, dem Widerspruchsrecht des Betroffenen und der Zweckbindung unterliegen. Das bedeutet, daß auch der Umgang mit nicht-sensiblen Daten, wie Name, Titel, akademische Grade, Anschrift, Geburtsjahr, Berufs- und Branchenbezeichnungen, sowie die Angabe über die Zugehörigkeit zu der betreffenden Personengruppe künftig stark eingeschränkt werden kann.

Zusammenfassend kann festgestellt werden, daß sich der Gesetzgeber um einen angemessenen Interessenausgleich bemüht hat. Das Ergebnis ist eine Reihe von Verbesserungen. Gleichzeitig enthält das novellierte BDSG Regelungen, die sich nach dem Inkrafttreten des Änderungsgesetzes - fünf Monate nach Verkündung - in der Praxis erst noch bewähren müssen. Langfristig sollte daher über eine Zweiteilung desBDSG und eine Ablösung des Verbotsprinzips im nicht öffentlichen Bereich weiter nachgedacht werden.