Nach den Erkenntnissen des Bifoa (Betriebswirtschaftlichen Instituts für Organisation und Automation) verfügen die Unternehmungen kaum über ein geeignetes Instrumentarium zur Erhebung ihrer Datenschutz- und Datensicherungskosten. Da demzufolge auch das Wissen um die Kostenrelevanz der einzelnen Maßnahmen (noch) nicht sehr entwickelt ist, besteht hier ein erheblicher Nachholbedarf.

In der jetzt vorliegenden Studie (siehe Kasten) stellt das Bifoa ein solches Erhebungsinstrumentarium vor und analysiert die quantitativen Ergebnisse aus 62 untersuchten Betrieben.

Allgemein kann folgendes festgestellt werden:

- Das Kostenbewußtsein ist dort besonders schlecht entwickelt, wo keine eigene Kostenstelle "Datenschutz" geführt wird.

- Unabhängig davon, ob eine Kostenstelle "Datenschutz" eingerichtet ist oder nicht, weisen die Erfassungsmöglichkeiten der Datenschutzkosten große Mängel auf. Insbesondere ist die unerläßliche Trennung von BDSG-initiierten Mehrkosten und solchen Datenschutzkosten, die auf Maßnahmen aus unternehmenseigenem Interesse zurückgehen, kaum konsequent durchführbar.

- Die branchenspezifischen Besonderheiten sind sehr ausgeprägt. So ist beispielsweise bei Kreditinstituten und Versicherungen der Anteil der BDSG-initiierten Kosten an den Gesamtkosten des Datenschutzes und der Datensicherung relativ gering, da in diesen Fällen bereits aus Eigeninteresse traditionell ein hohes Datenschutzniveau angestrebt wird.

Die Gesamtkosten des Datenschutzes und der Datensicherung - also sowohl die BDSG-initiierten, als auch diejenigen aufgrund unternehmenseigenen Datenschutzinteresses - hatten zwischen 1976 und 1982 unabhängig von Branche und Unternehmensgröße tendenziell den in Abbildung 1 dargestellten Verlauf.

Die Grafik verdeutlicht lediglich die Entwicklung der Datenschutzkosten im Verhältnis zum jeweiligen Vorjahr. Zum Teil erhebliche Unterschiede zwischen den verschiedenen Branchen und Unternehmungsgrößen ergaben sich danach ausschließlich hinsichtlich der absoluten Höhe der Datenschutzkosten nicht hinsichtlich ihrer relativen Entwicklung.

Nur ein Teil der Kosten erfaßt

Detailliertere Angaben lassen sich machen hinsichtlich derjenigen Datenschutz- und Datensicherungskosten, die von den untersuchten Industrieunternehmungen in ihrer Kostenstelle "Datenschutz" ausgewiesen werden, soweit sie überhaupt über eine solche Kostenstelle verfügten. Gemäß Abbildung 2 stieg der Anteil der in der Kostenstelle ausgewiesenen Datenschutzkosten an den Gesamtkosten der Datenverarbeitung von 0,26 Prozent-0,40 Prozent 1973 auf 0,41 Prozent-0,81 Prozent 1982. Zu beachten ist, daß die gesamten Datenschutz- und Datensicherungskosten erheblich über diesen Prozentsätzen lagen, da nur ein Teil von ihnen in den Kostenstellen erfaßt wurde.

Auf die absolute Höhe der BDSG-initiierten Datenschutz- und Datensicherungskosten in den verschiedenen Branchen an dieser Stelle näher einzugehen, würde den gesteckten Rahmen bei weitem sprengen. Im folgenden seien daher nur die aggregierten Werte kurz erläutert, von denen die branchenindividuellen Ergebnisse zum Teil deutlich abweichen.

Abbildung 3 weist aus, daß sich vier Gruppen unterscheiden lassen. Zwischen 1977 und 1982 fielen BDSG-initiierte Mehrkosten an von insgesamt

- bis 0,3 Millionen Mark bei nahezu allen kleinen und einigen mittleren Unternehmungen,

- 0,3 bis 0,6 Millionen Mark bei einem großen Teil der mittleren Unternehmungen,

- 1 bis 3 Millionen Mark bei den meisten Großunternehmungen,

- mehr als 20 Millionen Mark bei wenigen Großunternehmungen oder Unternehmungen mit außergewöhnlichen Anforderungen an den Datenschutz.

Die in Abbildung 3 dargestellte, BDSG-initiierten Kosten betrugen maximal 50 Prozent der gesamten Datenschutz- und Datensicherungskosten der untersuchten Unternehmungen. Mindestens die Hälfte entfiel demnach auf Maßnahmen, die aus unternehmungseigenem Interesse veranlaßt worden waren.

Wiederum ohne auf die in Details abweichenden Ergebnisse aus den verschiedenen Branchen eingehen zu können, gibt Abbildung 4 an, wie sich die BDSG -initiierten Gesamtkosten auf die vom BDSG verlangten Maßnahmen verteilen.

Das Diagramm zeigt damit deutlich, daß mehr als die Hälfte der BDSG-initiierten Mehrkosten durch die Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten entstanden sind. Die Ausübung von Rechten durch Betroffene fällt demgegenüber unter Kostengesichtspunkten nicht ins Gewicht. Noch zwei weitere Kostenquellen dürfen nicht unberücksichtigt bleiben:

- Zum einen beteiligten sich zahlreiche Unternehmungen an der öffentlichen Diskussion des Gesetzentwurfes von 1977 und nehmen seitdem an der Novellierungsdiskussion teil. Hierdurch entstanden und entstehen Reise-, Lohnkosten etc. in zum Teil nennenswertem Umfang.

- Zum anderen wurde die betriebliche Datenverarbeitung durch die Bestimmungen des BDSG zum Teil komplizierter und damit kostenintensiver.

Abschließend soll nicht unerwähnt bleiben, daß mit der Datenschutzgesetzgebung auch Nutzenaspekte für die betroffenen Unternehmungen verbunden sind. Hier ist insbesondere zu denken an eine

- Steigerung des Sicherheitsbewußtseins der Mitarbeiter,

- Verbesserung der DV-Organisation und -Dokumentation,

- zuverlässigere Datenverarbeitung,

- rationellere Datenverarbeitung,

- höhere Qualität der DV-Ergebnisse,

- bessere Darstellungsmöglichkeit nach außen,

- vertrauensvollere Zusammenarbeit mit Lieferanten und Kunden.

Auch wenn eine Quantifizierung des Nutzens in vielen Fällen kaum möglich ist, kann doch mit Sicherheit gesagt werden, daß die BDSG-initiierten Mehrkosten den mit dem Gesetz verbundenen Nutzen bei weitem übersteigen.

Die Studie

Daß der Datenschutz den Unternehmen lästig ist und zuviel Geld koste, ist seit den Anfängen der Bemühungen um eine Datenschutzgesetzgebung (BDSG = Bundesdatenschutzgesetz) hinreichend zu Papier und zu Ohren gebracht worden.

Aus der "Phraseologie" herausführen soll eine von der Ernst-Poensgens-Stiftung in Düsseldorf geförderte Untersuchung, die erstmals anhand von Beispielen quantifiziert. Das Betriebswirtschaftliche Institut für Organisation und Automation an der Universität zu Köln, kurz "Bifoa" genannt, präsentiert damit gleichzeitig ein Instrumentarium, das Transparenz in Sachen Kosten / Nutzen-Verhältnis von Datenschutz- und - Sicherungsmaßnahmen im einzelnen Unternehmen bringen könnte.

Der Titel

"Kosten des Datenschutzes in der Unternehmung. Qualitative und quantitative Ergebnisse einer empirischen Untersuchung in der Bundesrepublik Deutschland."

Autoren:

Erwin Grochla, Helmut Weber, Thomas Werhahn

Projektförderung:

Ernst-Poensgen-Stiftung, Düsseldorf

Verlag:

Vieweg Verlag, Braunschweig / Wiesbaden, 319 Seiten

Preis:

72 Mark