Am 12. November wurde das Bundes-Datenschutzgesetz verabschiedet. Demzufolge muß bis zum 1. 7. 77 ein betrieblicher Datenschutzbeauftragter bestellt, bis zum 1. 1. 78 die organisatorische Umstellung zur Erfüllung der Datenschutzbestimmungen erfolgt und bis zum 1. 1. 79 die Maßnahmen zur Gewährleistung der Anforderungen in bezug auf die Datensicherung getroffen sein. Für den Anwender heißt das zunächst neue Probleme und zusätzlichen Kosten. Zudem stellt sich mancher die Frage, ob und wie denn diese Termine einzuhalten sind. Erste Maßnahmen hierzu müssen also schnellstens eingeleitet werden. Die CW befragte drei Anwender, was sich nun bei ihnen ändern würde. Dennoch: "Es wird nicht alles so heiß gegessen, wie es gekocht wird." -hö
Peter Lange-Hellwig,
Geschäftsführer, VDRZ-Verband Deutscher Rechenzentren e. V., Hannover
Wenngleich das Bündes-Datenschutzgesetz schon jetzt den Keim der Nivellierungsbedürftigkeit in sich trägt, begrüßen wie, die Verabschiedung des Gesetzes, weil sie Klarheit auf dem Gebiet des Datenschutzes bewirkt und die bisher allgemein verbreitete Unsicherheit beendet. Für die Service-Rechenzentren war es seit jeher eine Existenzfrage, alle vom Auftraggeber verarbeiteten Daten mit dem gebotenen Höchstmal an Sicherheit zu behandeln. Sie genießen deshalb nicht zuletzt wegen dieser Arbeitsweise, die die Anonymität der Auftraggeber-Daten gewährleistet, einen Vertrauensstatus, der mit dem eines Notars oder Wirtschaftsprüfers gleichzusetzen ist. Millionen Lohnabrechnungen, also personenbezogene Daten, beweisen das.
Insofern trifft unsere Mitglieder, das Gesetz nicht unvorbereitet. Bei den meisten Unternehmen sind die im Gesetz verankerten Auflagen längst erfüllt. So weisen denn die Hersteller von Sicherheitseinrichtungen auch immer wieder auf vorbildliche Lösungen in Service-Rechenzentren hin. Der Verband trug bereits im Entwurfsstadium dafür Sorge, daß in verschiedenen Seminaren und Veröffentlichungen über die einzelnen Stadien des Gesetzes informiert wurden.
In Vorbereitung ist eine Dokumentation über die Einführung der gesetzlichen Auflagen im Unternehmen und eine praktisch orientierte Checkliste mit terminlicher Einbindung. Grundsätzlich verhehlen wir, allerdings nicht unsere Sorge im Hinblick auf die Kosten, die das Datenschutzgesetz mit sich bringt. Dies betriftt auch - und nicht zuletzt - die Kunden unserer Rechenzentren.
Rüdiger Dierstein,
MS Leiter des Rechenzentrums Oberpfaffenhofen der DFVLR
Es ist müßig, darüber zu diskutieren, ob das voll einer Woche verabschiedete Datenschutzgesetz in der jetzigen Form gut ist oder nicht. Man wird in der Praxis besser daran tun, sich so schnell wie möglich mit seinen Konsequenzen vertraut zu machen. Welcher Art diese Maßnahmen sind, was in jedem einzelnen Fall als erforderlich anzusehen ist sind was nicht, darüber schweigt das neue Gesetz sich aus. Das kann anders auch gar nicht sein, denn welcher Gesetzgeber wäre in der Lage, der einzelnen, die Daten verarbeitenden Stelle vorzuschreibene was sie zu tun oder zu lassen hat. Und genau an dieser Stelle beginnt für die Anwender die Arbeit und zugleich die Unsicherheit. Denn wer wüßte zu diesem Zeitpunkt von seinem Rechenzentrum, seiner Rechen anlage, seinem Betriebssystem, seiner Anwendersoftware, seiner Datenbanke wie man sie gegen Mißbrauche Zweckentfremdung der verarbeiteten Daten hinreichend schützt? Wer kann sagene er habe alles getan, was für Datensicherung "erforderlich" gilt? Wer kann behaupten, er habe das, was in der Anlage zu Paragraph 6 an Kontrollen verlange wird, erfüllt? Ja, wer kennt denn überhaupt die Risiken, die in seinem Beruf von Dabei der Verarbeitung von Daten bestehen? Wer kennt die Schwachstellen, die dem wissenden Eindringling Tür und Tor zu "den interessanten Daten" öffnen?
Die Datenschutzbeauftragten werden - wenn sie sich ihrer Aufgabe annehmen, über Arbeitsmangel nicht zu klagen haben. Und sie werden über ein gerütteltes Maß an Kenntnissen und Erfahrungen auf allen Gebieten der Datenverarbeitung verfügen müssen wenn sie auch nur dieses Problem lösen wollen. Woraus für alle, die jetzt nach geeigneten Datenschutzbeauftragten suchen,- mit Leichtigkeit zu erkennen ist, daß dies alles andere als ein Posten für "verdiente Mitarbeiter" ist, die andernorts nicht mehr so recht zu Stuhle kommen.
Der betriebliche Datenschutzbeauftragte ist ein Posten für hochqualifizierte Leute. Die Frage ist nur, wo man diese in aller Eile in so großer Zahl finden kann.
Karlheinz Gebhardt,
Vorstandsvorsitzender der DZSH, Mitglied des ADL-Verbandes e.V., Landesverband Schleswig-Holstein
Die Datenzentrale Schleswig-Holstein erfüllt die Auflagen teilweise schon heute und wird sie bis 1978 alle erfüllen. Sie hat sich als Anstalt des öffentlichen Rechts seit ihrer Gründung 1968 mit Fragen des Datenschutzes ständig beschäftigen müssen. In ihrer Stellung als Service-Betrieb entwickelt sie für die Verwaltungen in Land und Kommunen die Programme und verarbeitet ihre Daten, wobei die auftraggebenden Verwaltungen Herr des Verfahrens bleiben. Die Datenzentrale ist insoweit verantwortlich, als sie nur nach den Richtlinien der Verwaltungen verarbeiten darf. Zu diesem Zweck hat die DZ zahlreiche Schutz- und Sicherungsmaßnahmen geschaffen, die sich überwiegend mit den Forderungen des Bundesgesetzgebers decken.
Mit der Anstalt als Service-Betrieb ist auch der Grundsatz der Trennung von Verwaltungsverantwortung und technischen Vollzug, wie ihn Professor Steinmüller proklamiert, bereits seit 1968 in
Schleswig-Holstein realisiert. Zusätzlich hat die DZ alle Programme und Daten einem besonderen Geheimschutz im Sinne des Strafgesetzbuches unterworfen. Die Programmierer und Operator dürfen Programme und Daten unter dieser Strafandrohung nur nach Richtlinien einsetzen bzw. verarbeiten, die von den auftraggebenden Verwaltungen freigegeben sind.
Bis zum 1. 1. 77 muß dem Gesetz entsprechend ein Datenschutzbeauftragter bestellt werden. Eine ähnliche Funktion haben wir bereits. Obwohl die DZ nach dem Gesetz nicht verpflichtet ist, wird von uns eine vergleichbare Institution angestrebt und wäre auch zum geforderten Zeitpunkt zu realisieren.