Der 1. Januar 1993 ist vorueber, doch statt der Verwirklichung des Traums von einem geeinten, multikulturellen Europa entwickelt sich nunmehr Subsidaritaet zum Schlagwort des Zeitgeistes.
Betrachtet man aber den jetzt in geaenderter Fassung vorgelegten Entwurf fuer eine europaeische Datenschutzrichtlinie, so faellt deren hoher Detaillierungsgrad auf. Der Freiraum, der fuer die notwendige Beruecksichtigung nationaler Besonderhei-ten so wichtig ist, ist erheblich eingeengt.
Hierdurch wird zum einem die Gefahr heraufbeschworen, dass Mitgliedstaaten, die bereits heute ein ausgefeiltes Daten-schutzsystem besitzen, die Chan-ce einbuessen, Bewaehrtes zu be-halten, schlechtes zu ueberden-ken und Besseres zu uebernehmen. Zum anderen faellt es schwer, Akzeptanz beim Anwen-der fuer die Umsetzung solcher Regelungen zu finden, die in ei-ner ihm fremden Rechtstradi-tion verwurzelt und gewachsen sind.
Ein deutliches Beispiel hierfuer gibt die Meldepflicht ab, deren Neufas-sung - die im uebrigen mit ei-ner Ausweitung verbunden ist, auch wenn die Kommission dies durch erhebliche Ausnahmen kompensieren will - die Kommission als eine der beiden wesentlichen AEnderungen des zweiten Entwurfs bezeichnet.
Wie die von der Gesellschaft fuer Datenschutz und Datensicherung e.V. (GDD) Bonn, durchgefuehrte Erhebung belegt, fuehrt eine Meldepflicht ohne weitreichende Ausnahmeregeln zu einem ungeheuren buerokratischen Aufwand des Anwenders wie der Kontrollbehoerden. Soweit die Regelung in Verbindung mit einem Genehmigungsverfahren zu Verzoegerungen von Anwendungen fuehrt, schaet-zen etwa 85 Prozent der befragten Unternehmen, dass sie von den Endanwendern wenig bis gar nicht akzeptiert werden wird.
Dabei dient sie einem Gedanken, der auch den Umfrageteilnehmern nicht fremd ist. Er wird von ihnen nur auf andere Weise mit Leben erfuellt.
Die Meldepflicht ist kein Selbstzweck. Sie bezweckt viel-mehr, der Verarbeitung personenbezogener Daten die not-wendige Transparenz zu verleihen, um im Einzelfall notwendige Interventionen und Kontrollmassnahmen zu ermoeglichen.
Aus dieser Einsicht heraus haben verschiedene Mitgliedstaaten je nach ihrem speziellen Rechts- und Verwaltungstradi-tionen versucht, diese Transpa-renz zu schaffen.
So hat sich das neue EG-Meldesystem nach den zentralisti-schen Gepflogenheiten Frankreichs entwickelt. Aus der dort vorherrschenden juristischen Tradition geht es logisch hervor. Natuerlich ist Transparenz der Datenverarbeitung mit Hilfe eines zentralen Registers theoretisch durchaus herzustellen. Man ueberlege hierbei jedoch nur, bei der Masse der zu erwartenden Meldungen, mit welchem personellen Aufwand dies verbunden sein koennte.
In der Bundesrepublik obliegt nach dem Bundesdatenschutzgesetz (BDSG) die Schaffung der Datenverarbeitungstransparenz der speichernden Stelle selbst, indem sie ein Dateiregister dem betrieblichen Datenschutzbeauftragten zur Verfuegung zu stellen hat.
Zur Kontrolle greifen in beiden Systemen die Behoerden auf das einmal zentral und einmal dezentral gefuehrte Register zurueck. Interessanterweise sind in Grossbritannien Annaeherungen an das deutsche Modell zu beobachten.
Insoweit laesst sich durchaus der Schluss ziehen, dass bei unterschiedlichen Ansaetzen das gleiche Ziel verfolgt wird und hierbei eine Annaeherung der Standpunkte erkennbar ist. Denn nicht nur das franzoesische und britische Recht kennt die Meldepflicht, sondern auch das deutsche. Hier sei nur an die Meldepflichten des BDSG erin-nert.
Fazit dieser Betrachtung muss sein, dass zwar die Transparenz der Datenverarbeitung fuer einen wirkungsvollen Datenschutz gewaehrleistet sein muss, hierfuer jedoch kein bestimmtes Modell praedestiniert scheint. Daher duerfte es angemessen sein, auch wenn die Meldepflicht als Referenz an die Staa-ten, die dieses Modell pflegen, beibehalten werden soll, andere Ansaetze nicht von vorneherein auszuschliessen.
Daher hat die GDD eine Ergaenzungsvorschlag vorgelegt, den Mitgliedstaaten ausdruecklich die Moeglichkeit zu oeffnen, mit Hilfe innerbetrieblicher Selbstkontrolleinrichtungen die Schaffung der notwendigen Transparenz dezentral im Unternehmen zu gewaehrleisten. Dies soll zugleich als Voraussetzung fuer die Privilegierung von der Meldepflicht Anerkennung finden.
So koennen die verschieden institutionellen Ansaetze der Mitgliedstaaten und ihre Erfahrungen genutzt werden, die mit der Meldepflicht verbundenen Probleme einzudaemmen. Zugleich koennen hiermit zum einen das angestrebte Ziel der Transparenz in angemessener Form verwirklicht und zum anderen die Rechte und Freiheiten der Betroffenen in entsprechender Weise beruecksichtigt werden.
Die hier angesprochenen Selbstkontrolleinrichtungen sollten zugleich eine Moeglichkeit darstellen, zugunsten weniger weitgesteckter Aufgabenuebertragungen an die Kontrollbehoerden den Datenschutz in den Unternehmen selbst sicherzustellen.
Denn in der gesamten Richtlinie ist kein konkreter Hinweis darauf zu finden, wie der Datenschutz eigentlich konkret vor Ort zu gewaehrleisten ist.
Es werden lediglich Hinweise darauf gegeben, dass die Zulaes-sigkeitsvoraussetzungen sowie die anderen in der Richtlinie ge-nannten Vorschriften zu beach-ten sind. Flankierende Massnahmen wie zum Beispiel das Da-tengeheimnis oder weitere mit der Organisation des Daten-schutzes verbundene Vorschriften fehlen.
Statt dessen sind die Eingriffsrechte der Kontrollbehoerden extensiv ausgelegt. Sinn und Zweck der Daten-schutzrichtlinie kann es jedoch nicht sein, an den Anwender adressierte Regelungen zu treffen und diese im nachhinein durch externe Kontrollbehoerden zu kontrollieren.
Vielmehr muessen Zulaessig-keitsbedingungen eingebettet sein in ein innerbetriebliches praeventives Datenschutzsystem, das durch konkrete Massnahmen den Datenschutz im Unternehmen realisiert und in dem sich die Aufsicht der Kontrollbehoerden auf spezifische Anlaesse konzentriert. Nur Massnahmen im Unternehmen koennen diese Bestimmungen effektiv, den individuellen Gegebenheiten des Betriebes angemessen und angepasst, umsetzen.
Eine vorgeschlagene Ergaenzung des Artikel 6 schliesst eine Luecke im System des Richtlinienentwurfes unter gebuehren-der Beachtung des Subsidaritaetsprinzips und vor dem Hin-tergrund der Praktikabilitaet. Gleichzeitig wird dem Aspekt Rechnung getragen, dass staatliche Interventionen auf ein unbedingt notwendiges Mass zu begrenzen sind. Denn je weiter eine betriebliche Selbstorganisation ausgebaut ist, um so massvoller koennen die behoerdlichen Kontrollen ausfallen, ohne dass die Rechte der Betroffenen ungebuehrlich beeintraechtigt werden.
Dies zeigen auch die langjaeh-rigen Erfahrungen der Aufsichtsbehoerden in der Bundesrepublik Deutschland mit dem hierzulande praktizierten System.