Karl Rihaczek, Mitarbeiter der Datenschutz-Arbeitsgruppen im AWV und BVB, Marketing-Leiter Control Data GmbH, Frankfurt

Am 10. bzw. 12. November wurde das Bundesdatenschutzgesetz. (BDSG) verabschiedet. Für die Wirtschaft bedeutet dies u. a. folgendes:

Bis zum

1.7. 1977 Bestellung des betrieblichen Datenschutzbeauftragten

1.1. 1978 organisatorische Umstellungen zur Erfüllung der Datenschutzbestimmungen

1.1. 1979 Treffen der Maßnahmen zur Gewährleistung der Anforderungen ("Datensicherung").

Nun ist es an der Zeit, daß man das Gesetz genau beachtet. Davor sollten noch einige notorische Mißverständnisse ausgeräumt werden.

Mißverständnis 1: Die notwendig werdenden DV-Maßnahmen sind nicht identisch mit "Datensicherung". "Datensicherung" ist nur ein Teil davon und noch dazu der weniger problematische.

Mißverständnis 2: "Datensicherung" nach BDSG ist nicht herkömmliche Sicherung (des Eigentums an Daten oder des Betriebe der sogenannten speichernden Stelle). Es ist vielmehr Sicherung der Einhaltung der gesetzlichen Datenschutzbestimmungen.

Mißverständnis 3: "Datensicherung" nach BDSG hat nicht eine absolute Sicherheit zum Ziel, sondern nur eine angemessene; allerdings nicht den wirtschaftlich vertretbaren Kosten, sondern dem Schutzzweck angemessen; trotzdem wird sie sich billiger stellen als (zweckpessimistisch) befürchtet.

Zur Veranschaulichung Unterschiedes zwischen Sicherungsmaßnahmen nach BDSG und herkömmlicher Datensicherung zwei Beispiele:

Beispiel 1: Bei der Berichtigung personenbezogener Daten nach BDSG wird mit Hilfe des alten Magnetbandes (mit den falschen Daten) ein neues erstellte, das die richtige

Information führt. Das alte mit der teils falschen Information wird aufgehoben, um notfalls das neue Band wiedererstehen zu können. Es muß aber gegen unbefugtes Lesen gesichert werden, damit nicht die falsche Information als vermeintlich wahre weitergegeben werden kann. Datensicherung? Ja, aber gesichert wird es in diesem Falle wegen der falschen Information, d.h. wegen eines wirtschaftlichen Unwerts. Würde man aber nach herkömmlichem Verständnis einen wirtschaftlichen Unwert sichern?

Beispiel 2: Eine personenbezogene Datei mit weniger als vier Suchmerkmalen unterliegt nicht dem BDSG. Man sollte meinen, daß sie deshalb vom Gesetz unberührt sei. Jedoch Dateien, die sich nur nach drei Merkmalen absuchen lassen, gibt es in der Datenverarbeitung kaum. Eine normale Datenbanksoftware läßt das Absuchen nach beliebig vielen Merkmalen zu. Eine Beschränkung auf drei (z. B. Namen, Anschrift, Blutgruppe) ist nur mit einem zusätzlichen Programmieraufwand möglich.

Dabei allein kann es nicht bleiben; die Beschränkung darf nicht umgangen werden können, denn es zählen nicht allein die vorgesehenen, sondern alle Merkmale, nach denen tatsächlich gesucht wird. Sind dies mehr als drei, dann fällt die Datei unter das BDSG, mit allen sich daraus ergebenden Konsequenzen. Gegen das Umgehen der Beschränkung auf drei muß man sich also sichern. Das sind Sicherungsmaßnahmen, die zwar nicht explizit vom Gesetz gefordert, wohl aber von ihm bedingt sind; keineswegs sind es Datensicherungsmaßnahmen im herkömmlichen Sinne.

Legen Sie also die Fachbücher zur herkömmlichen Datensicherung zunächst zur Seite. Nehmen Sie das Gesetz zur Hand und leiten Sie die geforderten Datenschutzmaßnahmen daraus ab. Diese müssen nämlich bereits am 1. 1. 1978 implementiert sein. Ihre Sicherung ist zwar ebenfalls gefordert, aber sekundär, weil man erst wissen muß, was zu sichern ist und weil man für diese Arbeit ein weiteres Jahr (bis zum 1. 1979) Zeit hat.

Eine weitere Möglichkeit, sich innerhalb der Spielregeln auf den gesetzlichen Datenschutz einzustellen, ist die, sich auf das absolut Notwendige zu beschränken.

Zusammengefaßt läßt sich folgendes sagen: Eine aktive Einstellung der Unternehmensleitung zum Gesetz ist deshalb sinnvoll, weil die gesetzlichen Bestimmungen einen erheblichen Ermessensbereich freilassen, den die Wirtschaft nicht an die Aufsichtsbehörden oder die Gerichte verspielen sollte.

- Die Erfüllung des Gesetzes fängt mit der Benennung des betrieblichen Datenschutzbeauftragten an. Was man dabei falsch macht, ist eventuell nicht mehr gutzumachen.

- Das Bundesdatenschutzgesetz betrifft praktisch die gesamte Wirtschaft und liefert Konflikte ins Haus oder verstärkt bestehende. Wie man diese Konflikte bewältigt, hängt von der Person des Datenschutzbeauftragten ab und von seinem Verhältnis zu Unternehmensleitung, Behörde und Arbeitnehmern.

Es werden sich voraussichtlich praktische Normen einstellen, die auf eine gewissenhafte Befolgung des Gesetzes hinwirken. Für die Normung sorgt der Einfluß der Branchen, für eine gewissenhafte Befolgung die Eigenkontrolle der von der Datenhaltung Betroffenen, verstärkt durch das Wirken der Betriebsräte, aber auch durch das des Datenschutzbeauftragten.

* Eine Datei nach BDSG ist also nicht durch sich allein bestimmt, sondern auch durch die Programme, die auf sie zugreifen.