Datenschutz erfuellt oft eine Feigenblattfunktion

18.04.1995

Die vom Gesetzgeber allgemein gehaltene Definition zum Berufsbild des "betrieblichen Datenschutzbeauftragten" traegt bis heute entscheidend dazu bei, dass das Potential dieser Institution oft voellig verkannt wird. Obwohl der Datenschutz in vielen Bereichen synonym fuer eine sichere Datenverarbeitung ist und damit durchaus im Eigeninteresse eines Unternehmens liegen duerfte, empfindet man eine adaequate Besetzung dieser Position eher als laestige Pflicht. Vom "Datenschutz-Manager" mit umfassenden Kenntnissen zur Betriebsorganisation und Datenverarbeitung kann zumindest in den meisten kleineren und mittelstaendischen Firmen noch nicht die Rede sein.

Mit weit ausgestrecktem Arm wehrt der im Nebenamt frischgebackene Datenschutzbeauftragte den eintretenden Kollegen noch im Tuerrahmen seines Zimmers ab. Auf inhaltliche Fragen zu seiner Taetigkeit weiss der ehemalige DV-Leiter lediglich zu antworten, dass er zu dem Job gekommen sei wie die Jungfrau zum Kind und keinen blassen Schimmer von seinen neuen Aufgaben habe. Es bleibt der Eindruck: Nur keine Fragen stellen - Hauptsache, die Institution des Datenschutzbeauftragten ist eingerichtet.

Diese oder aehnliche Situationen scheinen zum Alltag vieler kleiner und mittelstaendischer Betriebe zu gehoeren. Gerhard Dronsch, Landesbeauftragter fuer den Datenschutz in Niedersachsen, bemerkt im zwoelften Taetigkeitsbericht des Landes: "Es gibt leider Unternehmen, fuer die das Bundesdatenschutzgesetz (BDSG) noch ein Buch mit sieben Siegeln ist. Auch zu diesen dringt von irgendwo die Nachricht vor, dass ein Datenschutzbeauftragter bestellt werden muss, wenn eine gewisse Zahl von Beschaeftigten mit der Verarbeitung von personenbezogenen Daten in Dateien zu tun hat. Welche Voraussetzungen dieser zu erfuellen hat, ist unbekannt, denn hierfuer muesste ein BDSG-Kommentar zur Hand sein."

Keine Kenntnis von der Meldepflicht

Aehnliche Erfahrungen beschreiben auch die hessischen Aufsichtsbehoerden in ihrem siebten Taetigkeitsbericht zum Datenschutz im nichtoeffentlichen Bereich: "Mit Erstaunen wurde notiert, dass man immer noch Unternehmen findet, die trotz jahrelangen Betreibens einer meldepflichtigen Taetigkeit keine Kenntnis von der datenschutzrechtlichen Meldepflicht haben und auch sonst von Datenschutz wenig wissen."

Zu den Fakten: Entscheidend fuer das Anfang 1977 verabschiedete und 1991 novellierte BDSG ist, dass es auf die innerbetriebliche Selbstkontrolle und Eigenverantwortlichkeit setzt. Dieses Prinzip der praeventiven und dezentralen Datenschutzkontrolle hat die EU nach langen Verhandlungen auch in die am 24. Juli dieses Jahres verabschiedete "Europaeische Datenschutzrichtlinie" aufgenommen. Das BDSG verpflichtet im Paragraph 36 unter anderem privatwirtschaftliche Unternehmen, in denen mindestens fuenf Angestellte regelmaessig mit der automatisierten Verarbeitung personenbezogener Daten beschaeftigt sind, einen sogenannten Datenschutzbeauftragten (DSB) zu bestellen. Dies hat schriftlich innerhalb eines Monats zu erfolgen, sobald diese Voraussetzungen erfuellt sind.

Firmen, bei denen die Vorschriften des BDSG greifen, die aber noch keinen Mitarbeiter fuer den Datenschutz ernannt haben, befinden sich demnach in einem unrechtmaessigen Zustand. Experten wie Andreas Jaspers von der Bonner Gesellschaft fuer Datenschutz und Datensicherung (GDD) sprechen daher von einer grossen Grauzone, in der noch viele Betriebe die gesetzlichen Bestimmungen nicht erfuellen - die Rede ist von ueber 30 Prozent. Klassische Beispiele sind Kleinunternehmen, aber auch groessere Steuerberatungskanzleien, Anwaltssozietaeten und Gemeinschaftspraxen von Aerzten.

Doch selbst wenn ein Datenschutzbeauftragter ernannt wurde, wird seine Taetigkeit in der Praxis oft als Alibifunktion behandelt. Nur die wenigsten mittelstaendischen Betriebe koennen sich wie ein Grosskonzern hauptamtliche Datenschuetzer leisten. Dronsch folgert: "Also wird jemand bestellt, bei dem man das Gefuehl hat, dass er oder sie diese Aufgabe nebenher machen kann." Gelegentlich sei dies der Geschaeftsfuehrer oder, wenn man es sich besonders einfach machen will, der DV-Leiter, denn der hat sich ohnehin um die Datensicherheit zu kuemmern und weiss am besten, was mit den digitalisierten Informationen passiert.

Eine derartige Besetzung der Position wird von den zustaendigen Behoerden allerdings in den meisten Faellen nicht toleriert und fuehrt zu sogenannten Abberufungsverlangen. Laut Dronsch wird oft ausser acht gelassen, dass der Datenschutzbeauftragte eine moeglichst unabhaengige Ueberwachungsinstanz sein sollte, die aehnlich einer Aufsichtsbehoerde die Einhaltung der Vorschriften ueberprueft. DV- Leiter, Systemverwalter, Geschaeftsfuehrer und Prokuristen koennen diese Kontrolle aber nur sehr bedingt wahrnehmen, weil sie sich selbst beaufsichtigen muessten. Sie unterliegen einem massiven Interessenkonflikt, der ihre Zuverlaessigkeit als Datenschutzbeauftragter von vorneherein in Frage stellt.

Erhebliches Potential fuer die Gesamt-DV

Um die Bedeutung und Akzeptanz des Datenschutzbeauftragten zu erhoehen, benutzen Fachleute gerne ein anderes, wenn man so will logisches Beispiel: Mit dem Einzug der DV steigt auch die Abhaengigkeit einer Firma von der "sicheren" Informationsverarbeitung. Personenbezogene Daten sind dabei eine Untermenge des schuetzenswerten Gesamtbestands. Ein kompetenter und pflichtbewusster Datenschutzbeauftragter leistet somit einen nicht unerheblichen Beitrag zur Sicherheit des unternehmensweiten DV- Systems.

Diese Schlussfolgerung gewinnt im Client-Server-Umfeld zunehmend an Bedeutung. War die Systemlandschaft der Unternehmen zur Zeit der Verabschiedung des BDSG 1977 noch von Grossrechnern und Terminals gepraegt, sind es heute meist Desktop-Rechner, auf denen personenbezogene Daten bearbeitet werden. Kleinbetriebe, die seinerzeit noch Schreibmaschinen einsetzten, erledigen ihre Auftragsbearbeitung oder Buchhaltung mittlerweile auf dem PC. Verglichen mit dem Tempo dieser Entwicklung, vollzogen sich die Veraenderungen im BDSG trotz der Novellierung im Jahr 1991, mehrerer Gerichtsentscheide zum Arbeitnehmerdatenschutz sowie einer Reihe von neuen Gesetzesregelungen im Schneckentempo.

Das Berufsbild wird vom Gesetzgeber lapidar damit beschrieben, dass der Beauftragte die erforderliche Fachkunde und Zuverlaessigkeit besitzen muss. Der darin enthaltene Interpretationsspielraum verleitet offensichtlich vielerorts zum Missbrauch: Es sind durchaus Faelle bekanntgeworden, wo man den Pfoertner oder Portier zum Datenschutzbeauftragten ernannt hat, berichtet Jaspers.

Um mehr Klarheit in das Berufsbild zu bringen, hat die GDD im Rahmen eines Forschungsprojekts zum Thema "Anforderungen an die Fachkunde und Zuverlaessigkeit eines betrieblichen Datenschutzbeauftragten" eine Studie anfertigen lassen. Das Grundlagenwissen wird demnach in juristische, unternehmensbezogene, betriebswirtschaftliche und DV-spezifische Kenntnisse eingeteilt. Die Bandbreite dieses Fachwissens vermittelt einen Eindruck davon, wie wertvoll ein umfassend informierter DSB fuer ein Unternehmen sein koennte. Um ein Universalgenie muss es sich dabei allerdings nicht handeln. Die juristische Fachkunde beschraenkt sich fuer privatwirtschaftliche Firmen weitgehend auf die Grundlagen und die in diesem Bereich gueltigen Abschnitte des BDSG sowie auf die datenschutzrelevanten Spezialregelungen anderer Gesetzesblaetter etwa fuer den Handel oder den Arbeitnehmerschutz.

Durchgaengige Einflussnahme

Was das Wissen ueber die eigene Firma angeht, lassen sich aufgrund branchenspezifischer Besonderheiten keine allgemeingueltigen Aussagen treffen. In jedem Fall sollte der DSB sein Unternehmen samt der formellen und informellen Strukturen ausreichend kennen und in der Lage sein, Datenschutzbelange umzusetzen. Spaetestens hier wird klar, dass mit der Position des DSB auch sehr viel Persoenlichkeit verlangt wird. Unerlaesslich ist einerseits die Vertrauensbasis bis hin zur Ebene der Sachbearbeitung und Verwaltung, anderseits sollte genuegend Durchsetzungsvermoegen gegenueber Abteilungsleitern und Geschaeftsfuehrung vorhanden sein.

Als betriebswirtschaftlich "unbedingt notwendige Kenntnisse" klassifiziert die Studie die allgemeinen Bereiche Organisationslehre und Unternehmensfuehrung sowie die Spezialgebiete Planung und Kontrolle, Personalwesen und die Betriebsdatenerfassung innerhalb der Produktion.

Gefragt ist ein breites DV-Know-how

Besonders umfangreich lesen sich die Anforderungen hinsichtlich der DV, weshalb die Besetzung dieser Position durch einen IT- erfahrenen Mitarbeiter nahezuliegen scheint. Nichts wird hier ausgelassen: Bei der Hardware sind grundlegende Funktionskenntnisse zu Dateneingabe- und -ausgabestationen, Uebertragungseinrichtungen, Speichereinheiten und Netzwerktopologien gefragt. Die Software (siehe Kasten) wird in systemnahe und Anwendungsprogramme gegliedert, wobei von den Betriebssystemen samt Benutzer-Schnittstelle bis hin zu Entwicklungs-Tools, Textverarbeitung, Tabellenkalkulation und Datenbankabfrage alles abgedeckt sein sollte.

Die Komplexitaet der Fachkunde kommt nicht von ungefaehr. Schliesslich hat sich der Datenschutzbeauftragte um bestehende Einrichtungen und Strukturen zu kuemmern sowie praeventiv seine Belange geltend zu machen.

Mit seinem Know-how hat er auf geplante Veraenderungen im Unternehmen zu reagieren und an Entscheidungen bis in die oberen Etagen mitzuwirken. Wesentliche Bestandteile seiner Funktion sind deshalb die kontinuierliche eigene Fortbildung wie auch die Schulung seiner Kollegen. Die dazu von der GDD angebotenen Seminare sollen zur Bewusstseinsbildung in Sachen Datenschutz beitragen, dem Beauftragten aber auch neben einem Basiswissen die rechtlichen Moeglichkeiten seiner Funktion vermitteln.

Rund 20 Prozent der Arbeitszeit fuer Datenschutz

Angesichts dieses vielfaeltigen Berufsprofils stellt sich gerade fuer Betriebe, die sich keinen hauptamtlichen Datenschutzbeauftragten leisten koennen oder wollen, die Frage, wieviel Zeit ein Mitarbeiter in diesen Job investieren muss. Hier existieren laut Jaspers keine allgemeingueltigen Zahlen. Einen Anhaltspunkt bietet der Beschluss der Arbeitsgerichts Offenbach vom 19. Februar 1992: "Bei einem Betrieb mit weniger als 300 Arbeitnehmern kann die Position des Datenschutzbeauftragten in der Regel mit 20 Prozent der Taetigkeit eines vollzeitbeschaeftigten Angestellten hinreichend wahrgenommen werden."

Die vagen Formulierungen im BDSG und die fehlenden Richtlinien etwa zum Arbeitsaufwand lassen sich auch so interpretieren, dass der Gesetzgeber zunaechst einmal von der innerbetrieblichen Selbstkontrolle ausgeht. Allerdings traegt dieses Vertrauen nicht unbedingt dazu bei, dass die Institution des Datenschutzbeauftragten von allen Unternehmen ernstgenommen wird.

Regelmaessige Kontrolle nur in speziellen Firmen

Eine Kontrolle muessen aber nur wenige fuerchten. Die Aufsichtsbehoerden sind Sache der Bundeslaender und unterstehen in der Regel dem jeweiligen Regierungspraesidenten. Waehrend Unternehmen wie Auskunfteien, Adressverlage oder Rechenzentren, die geschaeftsmaessig personenbezogene Daten verarbeiten, in regelmaessigen Abstaenden kontrolliert werden, kommt es bei den meisten privatwirtschaftlichen Betrieben allenfalls zur Anlassaufsicht, wenn der Verdacht auf eine Unregelmaessigkeit gemeldet wurde.

In solchen Faellen kuendigen sich die Kontrolleure vorher bei der Firma an und ueberpruefen, ob ein Datenschuetzer bestellt wurde, wie es um seine Qualifikationen steht und ob er seine Aufgaben erfuellt. Liegen Verstoesse gegen das BDSG vor, traegt die Verantwortung dafuer das Unternehmen, nicht der Datenschutzbeauftragte.

In der Regel wird zwischen allen Beteiligten ein Konsens angestrebt, notfalls muss der Datenschutzbeauftragte abgeloest werden. Die von den Bundeslaendern unterschiedlich gehandhabten Bussgeldverfahren gelten als letztes Druckmittel, das nur selten eingesetzt wird. Ueber einen aktuellen Fall in Niedersachsen, wo man sehr viele Probleme mit Banken und Versicherungen hat, berichtet Dronsch: Die Bauinteressenten fuer das von einem Gemeinderat nahe Hannover ausgewiesene Baugebiet erhielten ploetzlich Post von einer Bank. Auf die Frage, wie die Adressliste in die Haende des Geldinstituts gelangt sei, bekamen die behoerdlichen Datenschuetzer zunaechst keine, im zweiten Anlauf eine nur unvollstaendige Auskunft. Dies sei der erste Fall, so erinnert sich Dronsch, dass in Niedersachsen eine Geldbusse verhaengt wurde, wobei das Verfahren noch nicht abgeschlossen ist.

Etwas haerter greifen da die Hessen durch, wie in der druckfrischen Vorlage der Landesregierung ueber die Taetigkeit der Datenschutz- Aufsichtsbehoerden zu lesen ist. Im Berichtsjahr 1994 wurden mehrere Ordnungswidrigkeitsverfahren gegen Firmen eingeleitet, die es trotz mehrjaehriger Geschaeftstaetigkeit versaeumt hatten, einen Datenschutzbeauftragten zu bestellen. Weitere Geldbussen wurden aufgrund der Verweigerung von Auskuenften verhaengt. Im Jahr zuvor hatte die Aufsichtsbehoerde einen hessischen Adressbuchverlag zu einer Strafe von insgesamt 4500 Mark verurteilt. Die Vorwuerfe in drei Faellen: Der Verlag verweigerte sowohl seine vom BDSG geforderte Mitarbeit als auch den Zutritt der Aufsichtspersonen zu seinen Geschaeftsraeumen. Er war ausserdem nicht bereit, die gewuenschten Auskuenfte zu erteilen.

Anwendungssoftware

Kenntnisse: unbedingt notwendig/wuenschenswert/im Regelfall verzichtbar

Textverarbeitungssystem, Tabellenkalkulation: unbedingt notwendig

Datenbankabfragesprache (SQL): unbedingt notwendig

Personalabrechnungs-/informationssystem: unbedingt notwendig

Grafikprogramme, DTP: wuenschenswert

Logische Datenorganisation: wuenschenswert

Datenbankanwendungen: wuenschenswert

Software-Tools: wuenschenswert

Virenprogramme, Schutzmechanismen: wuenschenswert

Physikalische Datenorganisation: wuenschenswert

Fachbereichssoftware: wuenschenswert

interner Aufbau und Ablauf der Programme: im Regelfall verzichtbar

Produktions-, Fertigungsprogramme: im Regelfall verzichtbar

Systemsoftwarekenntnisse/systemnahe Software

Kenntnisse: unbedingt notwendig/wuenschenswert/im Regelfall verzichtbar

Systembedingte Betriebsarten: unbedingt notwendig

Benutzerbedingte Betriebsarten: unbedingt notwendig

Bedieneroberflaechen, Utilities: unbedingt notwendig

Software-Entwicklung: unbedingt notwendig

Steuerprogramme: wuenschenswert

Mono-/Multiprogramming: wuenschenswert

Grundlagen der Strukturierung von Programmen: wuenschenswert

Dienstprogramme: Sortier-, Kopierprogramme: wuenschenswert

Unterschiede verschiedener Betriebssysteme: wuenschenswert

Test-, Wartungshilfen: wuenschenswert

Programmierkenntnisse: wuenschenswert

Uebersetzungsprogramme, Compiler, Interpreter: im Regelfall verzichtbar