Berufsbild und Wirkungsweise des betrieblichen Datenschutzbeauftragter (DSB) sind seit seiner Einrichtung vielfach diskutiert worden. Nach Bekanntwerden der Novelle zum Bundesdatenschutzgesetz (BDSG) wird diese Diskussion neu belebt, zum Beispiel durch die Beiträge von Rechtsanwalt Bernd Beder, Köln, "Datenschutzbeauftragter im Unternehmen - - Eine originär antwaltliche Aufgabe" (Computer und Recht 9/90), und von Regierungsrat Dr. Eugen Ehmann, München, "Unternehmen machen Anwalt zum Datenschutzbeauftragten" (CW Nr. 42 vom I9. Oktober 1990).

Mit dem Hinweis, daß der betriebliche Datenschutz eine originär anwaltliche Aufgabe sei,

- weil damit der vom Gesetzgeber nicht gewollten Weisungsabhängigkeit gegenüber den Vertretungsorganen des Unternehmens am besten begegnet werden könne,

- weil sich damit auch die Kosten für den Datenschutz überschaubarer und günstiger gestalten ließen und

- weil die Unkündbarkeit betrieblich problembeladen sei wird insbesondere von Beder bei Bestellung des betrieblichen DSB der Rückgriff auf einen externen und unabhängigen Rechtsanwalt angeraten.

Obgleich diese Aussage bei erster Betrachtung dieses Teilaspektes gesetzlicher Bestimmungen plausibel erscheint, werden Überlegungen dieser Art doch nicht der komplexen Problemstellung des betrieblichen Datenschutzes gerecht. In der Begründungen werden nur die juristischer Qualifïkationsanforderungen für den DSB betrachtet. Erforderliche technische und organisatorische Kenntnisse, die zum betrieblichen DSB befähigen, finden kaum Erwähnung. Der Prüfung hinsichtlich der erforderlichen technischen und organisatorischen Kenntnisse des betrieblichen DSB wird sicherlich nicht damit Genüge getan, daß man pauschal feststellt, die Anwaltschaft habe den Schritt in die moderne Kommunikationstechnologie längst hinter sich.

Die betrieblichen Aufgaben, die sich aus dem Gesetz in seiner Gesamtheit ergeben, mit den Beratungs-, Veranlassungs- und Durchführungsfunktionen als Grundlage für die Bestellung und die zur Einschätzung notwendiger Maßnahmen erforderliche Kenntnis der betrieblichen Zusammenhänge bleiben bei einer derartigen Betrachtungsweise auf der Strecke.

Das BDSG bildet in seiner Gesamtheit die grundlegende und umfassende Rechtsvorschrift zum Persönlichkeitsschutz auf` dem Gebiet der Datenverarbeitung, die hier nur für die Umsetzung im privatwirtschaftlichen Bereich Betrachtung findet. Der betriebliche Datenschutz als Instrument der Selbstkontrolle ist von der Unternehmensleitung durch organisatorische und technische Maßnahmen sicherzustellen. Mit der Bestellung eines DSB allein wird diese Selbstkontrolle nicht hergestellt. Die Bestellung des betrieblichen DSB bildet lediglich einen Bestandteil dieser Selbstkontrolle. Datenschutz ist eine Organisationsaufgabe des Unternehmens. Die Datenschutz-Organisation wird allerdings durch die Wirkungsweise des betrieblichen DSB wesentlich beeinflußt.

Zu den Aufgaben des DSB gehören das Führen von Übersichten, die Überwachung, die Schulung und Verpflichtung sowie die Mitwirkung bei der Personalauswahl. Diese sind ausdrücklich im ° 29 BDSG genannt. Weitere nicht genannte Aufgaben ergeben sich für den DSB ebenfalls aus den BDSG-Vorschriften des ersten (°° 1 bis 6), des dritten und vierten Abschnittes (°° 22 bis 40) und aus anderen Rechtsvorschriften über den Datenschutz. Hieraus resultieren zusätzlich vielfältige Beratungs- und Mitwirkungsaufgaben, etwa bei der Festlegung technischer und organisatorischer Maßnahmen, die präventiv am Ort der Datenverarbeitung und in dessen Umfeld wirksam sein müssen, und auch bei der Kontrolle zur Wahrung der Rechte der Betroffenen. Eine der Hauptfunktionen des DSB besteht also darin, auf der Grundlage einer Risikoanalyse die Bestimmungen des BDSG im Hinblick auf die besonderen Verhältnisse des Unternehmens (unter Berücksichtigung organisatorischer Zweckmäßigkeit) zu konkretisieren.

Die spezifischen Aufgaben des DSB werden zudem stark von der Art, der Branche und der Große des jeweiligen Unternehmens geprägt, das den DSB zu berufen hat. Auch die Art und Menge der gespeicherten Daten und die Art der Gefährdungen, der diese Daten ausgesetzt sind, beeinflussen die Aufgaben des DSB. Der an sich statische Katalog von Anforderungen, die an Datenschutzbeauftragte gestellt werden, verändert sich somit qualitativ mit den betrieblichen Besonderheiten. Ebenso wird die vom Gesetzgeber geforderte Fachkunde des DSB an den Eigenheiten des Unternehmens ausgerichtet sein müssen, in dem er seine Aufgabe erfüllen soll.

Die Anforderungen, die sich aus den Aufgaben und der Funktion des DSB für einen Bewerber ergeben, sind daher qualitativ unterschiedlich. Überdies resultieren aus

den unternehmensspezifischen Gegebenheiten besondere Schwerpunkte. Dies führt zwangsläufig dazu, daß bei der Beurteilung der Qualifikationen eines Bewerbers ein Ermessensspielraum besteht. Er darf jedoch nicht zu Lasten des Datenschutzes ausgeweitet werden. Seine Ausfüllung muß anhand objektiv nachprüfbarer Kriterien vorgenommen und an Maßstäbe gebunden werden, die der unternehmensspezifischen Aufgabe entsprechen.

Ein Beauftragter für den Datenschutz erfüllt die gesetzlichen Anforderungen hinsichtlich der Fachkunde dann, wenn er neben erforderlichen Fähigkeiten insbesondere über juristische, technische und organisatorische Kenntnisse verfügt. Basierend auf einem breiten Grundlagenwissen und einer guten Allgemeinbildung sind insbesondere folgende Kenntnisse zu fordern:

Rechtliche Anforderungen:

- allgemeine juristische Kenntnisse,

- Beherrschung des BDSG,

- umfassende Kenntnisse über sonstige datenschutz-relevante Rechtsvorschriften.

Technische Anforderungen:

- weitgehende Kenntnisse der automatisierten Datenverarbeitung,

- weitgehende Kenntnisse der Informationstechnologie.

Organisatorische Anforderungen:

- umfassende Kenntnisse des Betriebes,

- Kenntnisse der Methoden der Aufbau- und Ablauforganisation,

- allgemeine betriebswirtschaftliche Kenntnisse,

- Revisionskenntnisse.

Wenngleich die Anforderungen an den DSB prinzipiell identisch sind, so ist doch zu berücksichtigen, daß es mit zunehmender Unternehmensgröße und steigendem Diversifikationsgrad kaum gelingen dürfte, einen Kandidaten zu bestellen der alle Kenntnisse umfassend besitzt. Dann sind Defizite durch zielgerichtete Schulungsmaßnahmen auszugleichen.

Die Anforderungen in einem großen Unternehmen mit vielen Kunden-, Mitarbeiter- und Lieferantendaten weichen in vielen Punkten von jenen ab, die an den DSB eines kleineren Unternehmens zu stellen sind, wenn dieses nur wenige Kunden- und wenige Mitarbeiterdaten gespeichert hat. Um die in einem stark DV-orientierten Unternehmen individuell anfallenden Datenschutzaufgaben erfüllen zu können, sind neben Fachkunde eingehende Kenntnisse der betrieblichen Zusammenhänge erforderlich.

Fazit: Datenschutz ist unternehmensspezifisch und präventiv auszugestalten. Datenschutz-Maßnahmen sind weitgehend in die Unternehmensorganisation zu integrieren. Richtig organisierte Datenschutz-Maßnehmen wirken transparenzfördernd und dienen somit auch den Erreichen der Unternehmenszielen. Neben der Sicherung der rechtlichen Zulässigkeit der Datenverarbeitung sind in diesem Zusammenhang die Gewährleistung der Ordnungsmäßigkeit und Akzeptanz der Datenverarbeitung im Unternehmen zu nennen. Aus diesem Grund muß der betriebliche Datenschutzh auftragte mit betrieblicher Kompetenz und Fachkunde ausgestattet sein.

Beder selbst weist darauf hin, daß der nach der BDSG-Novelle vorgesehene erweiterte Kündigungsschutz bei der Entscheidung des Unternehmens, ob ein interner oder externer DSB zu bestellen ist, keine Rolle spielt, da der Kündigungsschutz auch für den extrnen DSB gilt.

Hinsichtlich der "Unabhängigkeit gegenüber der Unternehmensleitung erscheint es sehr problematisch, dem internen oder externen DSB von vornherein die größere Durchsetzungsfähigkeit zu unterstellen. Hier kommt es vielmehr ausschließlich auf die durch Fachkunde begnindete Autorität des DSB an.

Tatsache ist jedoch, daß die betrieblichen Zusammenhänge zunehmend an Komplexität gewinnen und es daher nur von Vorteil sein kann, als DSB die internen Zusammenhänge zu kennen sich auch ein externer DSB diese betrieblichen Kenntnisse verschaffen. Dies erfordert jedoch eine betriebliche Einarbeitungszeit.

Zusammenfassend bleibt fest zuhalten: Die Aussage, ein externer Rechtsanwalt sei für die Funktion des betrieblichen DSB generell geeigneter als interne Kandidaten, stellt eine Verallgemeinerung dar, die unzutreffend ist. Das Anforderungsprofil des betrieblichen DSB ist dafür zu vielschichtig Die Beantwortung der grundlegenden Frage, ob einer internen oder externen Besetzung der Vorzug zu geben ist, hängt ausschließlich von den jeweiligen betrieblichen Gegebenheiten ab Fehlendem Vorhandensein geeigneter Kandidaten im Unternehmen kann gegebenenfalls vorteilhaft durch personelle Maßnahmen und Schulung abgeholfen werden. Die richtige Beantwortung dieser Frage gewinnt mit der betrieblichen Komplexität aller Zusammenhänge an Bedeutung, was tendenziell für die Bestellung eines internen DSB spricht.