Professor Gerhard Kongehl Vorsitzender des Berufsverbandes der betrieblichen und behördlichen Datenschutzbeauftragten Deutschlands (BvD), Ulm.
Den vielseitigen Verwendungszweck von Juristen, zumal von Rechtsanwälten, in allen Ehren! Daß sich nun aber Vertreter dieses (nicht ausgelasteten?) Berufsstandes ausgerechnet das Tätigkeitsfeld des betrieblichen Datenschutzbeauftragten als vermeintlich verheißungsvolle Pfründe ausgeguckt haben, wird von Fachleuten auf diesem Gebiet mit ungläubigem Staunen, aber auch mit Ärger registriert.
Wer sich die Aufgaben dieser Datenschützer unvoreingenommen vor Augen führt, wird sehr schnell feststellen, daß das Vorhaben dieser Rechtsanwälte nicht nur die Datenschutzgesetzgebung unterläuft und damit den Datenschutz demontieren würde. Es brächte den von solcher "Hilfe" betroffenen Unternehmen erhöhte Risiken bei der ordnungsgemäßen Datenverarbeitung, ja der gesamten Computer- und Datensicherheit, ein. Und im Gegensatz zu dem Artikel in der CW (siehe Kasten) wäre der datenschutzwillige Rechtsanwalt auch nicht billiger und effektiver. Er würde im Vergleich zum fachkundigen, angestellten Datenschutzbeauftragten in der Regel ein weitaus schlechteres Preis-Leistungs-Verhältnis vorzuweisen haben.
Zur Begründung: Das Bundesdatenschutzgesetz (BDSG) überläßt den Unternehmen die Kontrolle über die Einhaltung der Datenschutzvorschriften weitgehend selbst. Es hat darum die Funktion des betrieblichen Datenschutzbeauftragten nie als Nebenjob, sondern als zentrale, unabhängige Aufgabe verstanden. Das zeigt sich nicht zuletzt in einem recht anspruchsvollen Pflichtenkatalog, den dieser Datenschützer nach dem Gesetz zu befolgen hat. Wenn deshalb der betriebliche Datenschutzbeauftragte mit anderen Aufgaben so eingedeckt würde, daß er seine Pflichten nicht in der vorgeschriebenen Weise erfüllen könnte, würde dies eine Umgehung geltenden Rechts bedeuten (wogegen nach dem neuen Datenschutzgesetz die Aufsichtsbehörde einschreiten könnte!). Da nun aber ein noch in anderen Bereichen tätiger Rechtsanwalt (allein schon aus Kostengründen) gar nicht die Zeit zur Erfüllung der gesetzlich vorgeschriebenen Aufgaben hätte, würde eine solche Rechtsumgehung auch noch institutionalisiert.
Darüber hinaus kann ein nach bisherigem Standard ausgebildeter Rechtsanwalt die Aufgaben eines betrieblichen Datenschutzbeauftragten fachlich nicht bewältigen. Ein solcher Datenschützer muß nämlich über umfassende und intime DV-Kenntnisse verfügen, um zum Beispiel die vom Bundesdatenschutzgesetz (BDSG) geforderte Sicherstellung der ordnungsgemäßen Funktion von Betriebs- und anderen Programmsystemen, von Datenbanken, Verschlüsselungsroutinen etc. gewährleisten zu können.
Der Sachkundige betriebliche Datenschutzbeauftragte wird deshalb in der Regel Informatiker sein oder zum Beispiel als Jurist über eine entsprechend umfangreiche Zusatzausbildung verfügen müssen. Diese Ausbildung muß ihn wie einen Informatiker in die Lage versetzen, in systemtheoretischen Zusammenhängen denken zu können. Andernfalls kann er beispielsweise Qualitätssprünge (und damit auch neue Gefahren für die von der DV Betroffenen) nicht erkennen, die sich durch neue Programme und Verfahren ergeben könnten. Außerdem wird der betriebliche Datenschutzbeauftragte - wenn nicht wegen der Größe des Betriebes und des Umfangs der Datenverarbeitung ein eigener Datensicherheitsexperte erforderlich wird - sinnvollerweise die allgemeinen Belange der Daten- und DV-Sicherheit mitbetreuen. Der gängige Gebrauchsjurist, für den sich ein Rechenzeit-Diebstahl als Hausfriedensbruch darstellt und der oft immer noch einen Umgang mit Daten in Dateien wie einen Umgang mit Akten beurteilt, wäre hier völlig überfordert.
Bei der Organisation von Daten- und Funktionssicherheit der DV sowie der Kontrolle von DV-Prozessen hat der Datenschutzbeauftragte natürlich auch mit Rechtsfragen zu tun. In der Regel muß er hier, wie zum Beispiel auch der juristische Laie als Angestellter der öffentlichen Verwaltung, aber nur einen begrenzten Satz von Rechtsvorschriften anwenden, die ihm relativ schnell in Fleisch und Blut übergehen.
Manchmal braucht er allerdings echten juristischen Sachverstand, nämlich dann, wenn es etwa weil Grundsatzentscheidungen anstehen - um die Interpretation einer der leidigen Generalklauseln des Bundesdatenschutzgesetzes geht. Den findet der fachkundige Datenschutzbeauftragte (der hier ja zumindest die richtigen Fragen stellen kann!) meist vor Ort, zum Beispiel beim justitiar oder notfalls auch bei Aufsichtsbehörden. Den im Berufsverband der betrieblichen und behördlichen Datenschutzbeauftragten Deutschlands (BvD) zusammengeschlossenen Datenschützern steht überdies der Rat von ausgewiesenen DV-Rechtlern zur Verfügung.
Ein paar weitere Aussagen des CW-Artikels gilt es richtigzustellen: Nicht der Anwalt, sondern der fachkundige betriebliche Datenschutzbeauftragte ist bei größerer Effektivität billiger:
Für das Gehalt und die Nebenkosten eines betrieblichen Datenschutzbeauftragten einschließlich einer Halbtagssekretärin und unter Berücksichtigung von Urlaub und bezahlten Feiertagen arbeitet ein Rechtsanwaltsbüro allenfalls sechs bis neun Stunden in der Woche.
Außerdem wird man für viele informationstechnische Fragen wie etwa für das Problem der Datensicherheit weitere Experten einbeziehen (und bezahlen) müssen. Auch fachkundige externe Datenschutzbeauftragte sind deshalb nur bei Kleinbetrieben sinnvoll und vertretbar. Übrigens sind die Kosten, die nach Auffassung des CW-Artikels als wachsende Aufwendungen für den Datenschutzbeauftragten zu Buche schlagen, zum größten Teil der intensiveren Nutzung der DV oder der Einführung neuer DV-Technologien zuzurechnen. Sie gehen also auf das Konto der Daten- und Computersicherheit und nicht auf das Konto des Datenschutzbeauftragten.
Auch ist es nicht richtig, wenn gesagt wird, daß nach dem neuen Bundesdatenschutzgesetz der Datenschutzbeauftragte etwa wie ein Betriebsrat - unkündbar wäre. Vielmehr kann er nach den neuen Rechtsvorschriften sogar von der Aufsichtsbehörde abberufen werden, wenn er nicht die erforderliche Fachkunde und Zuverlässigkeit (siehe oben!) besitzt und natürlich auch dann, wenn er die berühmten silbernen Löffel klaut.
Und noch eins: Trotz der neuen Schadensersatzregelungen im Bundesdatenschutzgesetz muß das Haftungsprivileg für Angestellte kein Hinderungsgrund für die Bestellung eines innerbetrieblichen Datenschutzbeauftragten sein. In Zusammenarbeit mit dem BvD entwickelt eine große deutsche Versicherungsgruppe hier gerade einen diese Lücke schließenden neuen Typ von Versicherung.