"Die Nicht-Juristen sind von diesen Problemen überfordert"

20.04.1979

Mit Rechtsanwalt Walter Knabben, Köln, sprach Elmar Elmauer

- Herr Knabben, Sie sind Rechtsanwalt in einer Kölner Anwaltssozietät und haben jetzt den Datenunfall und seine zivilrechtlichen Folgen juristisch aufgearbeitet. Wo entstanden denn Ihre Beziehungen zum BDSG?

Ich habe mich lange vor Inkrafttreten dieses Gesetzes wissenschaftlich mit dessen Motiven, mit den Vorschlägen der Ausschüsse im Bundestag und dem Bundestag beschäftigt und bin so langsam in die Szene reingewachsen.

- Nunmehr haben Sie sich die zivilrechtlichen Folgen, eben die Frage der Haftung, vorgenommen. Ist denn die Haftung heute schon ein praktisches Problem oder immer noch etwas, was bloß die Rechtstheoretiker beschäftigt?

Da legen Sie schon einen Finger auf eine noch offene Wunde. Zivilrechtliche Haftung, und zwar der ganze Bereich von der vertraglichen bis zur deliktischen Haftung, ist, soweit ersichtlich, immer noch eine Frage der Theoretiker und nicht der Praktiker. Dies deshalb, weil die Problematik selbst in Juristenkreisen noch nicht durchgängig bekannt ist. Überhaupt ist zum ganzen BDSG zwar sehr viel geschrieben worden, von Herrn Auernhammer, von Herrn Simitis und von vielen anderen: Aber diese Dinge sind nur an einen begrenzten Kreis von Menschen herangekommen, nicht an die breite Masse der Juristen, auch nicht an die Gerichte.

- Auernhammer zitiert Simitis, Simitis zitiert Auernhammer, Knabben zitiert Simitis, Simitis Knabben.

Ja, auch das ist leider richtig, obwohl es mittlerweile eine größere Menge von Autoren gibt, von denen sich allerdings die meisten zunächst auf die deliktische Haftung gestürzt haben und sehr wenig auf die vertragliche Haftung.

- Sie sprechen nun vom Datenunfall: In den seltensten Fällen geht's bei Unfällen über die Fahrlässigkeit hinaus. Reicht diese Fahrlässigkeit aus, um eine Haftung zu begründen?

Gerade bei den Problemen des 823/1 reicht die Fahrlässigkeit aus: Nämlich jedes schuldhafte Verhalten der speichernden Stelle oder der Risiko-Personen oder des Datenschutzbeauftragten kann zu einer Haftung nach 823/1 beziehungsweise 823/2 in Verbindung mit den Paragraphen 41, 42 BDSG führen. Es reicht also, jedes schuldhafte Verhalten wider BGB 276: jede Fahrlässigkeit und natürlich jedes darüber hinausgehende Verschulden wie grobe Fahrlässigkeit oder gar Vorsatz. Auch im Rahmen der vertraglichen Haftung reicht für das Verschulden Fahrlässigkeit aus.

- Nun kam Auernhammer zu der Auffassung, daß ein Verstoß gegen Paragraph 41 BDSG als Tat insgesamt nur strafbar sei, wenn die Handlung vorsätzlich verübt wird. Er sieht hier Fahrlässigkeit nicht ausdrücklich mit Strafe bedroht.

Diese Auffassung wird heute überwiegend vertreten. Leider gibt es bisher hierzu keine Rechtsprechung, die das bestätigt. Auch die gegenteilige richterliche Auffassung, daß fahrlässiges Handeln unter Strafe nach 41 gestellt wird, gibt es nicht. Ein Fingerzeig des Gesetzgebers, daß nur vorsätzliches Begehen unter Strafe gestellt werden soll, ergibt sich nicht aus dem BDSG-Wortlauf.

- Wie oft, glauben Sie denn, ist in dem vom BDSG abgedeckten Bereich Fahrlässigkeit an der Tagesordnung und wie oft Vorsatz?

Sicherlich werden Ordnungswidrigkeiten überwiegen. Wobei ich natürlich nicht ausschließen kann, daß auch heutzutage, obwohl wir das BDSG haben, immer noch vorsätzlich, zumindest aber grob fahrlässig hiergegen verstoßen wird. Ich habe aus meiner praktischen Erfahrung in der Beratungspraxis als Anwalt die Erkenntnis gezogen, daß es eine große Dunkelziffer von zumindest fahrlässigen Rechtsverstößen gibt. Daß diese im einzelnen grob fahrlässig oder gar vorsätzlich, quasi bei Adreßverschiebungen gegen Entgelt, praktiziert werden, kann ich mir vorstellen.

- Darf ich das so zusammenfassen: Die speichernde Stelle kann von Glück reden, daß die Betroffenen noch viel weniger über ihre Rechte Bescheid wissen als die speichernde Stelle.

Sie haben völlig recht. Wir haben hier eben eine neue rechtliche Situation, mit der im Grunde keiner, schon wegen der Kompliziertheit der Materie nicht, etwas für die Praxis anfangen kann. Ich bin sicher, wenn wirklich der praktische Fall einmal von höheren Gerichten entschieden würde und es käme der Bußgeldbescheid oder der Strafbefehl: Dies würde durch die Gazetten gehen und dem Datenschutzbewußtsein in der Öffentlichkeit sehr hilfreich sein.

- Hätte denn jetzt ein Betroffener Chancen, angesichts der in der Materie ebenfalls noch nicht so bewanderten Richter, Haftungsansprüche gegen ein speicherndes Unternehmen durchzusetzen?

Ich habe diese Fälle schon hier bei uns in der Praxis versucht, indem ich die speichernden Stellen beziehungweise den Datenschutzbeauftragten angeschrieben und mit Fakten konfrontiert habe. Wenn ich dieser Spur nachging, bin ich auf Abwehr gestoßen. Die Datenschutzbeauftragten hatten, wenn sie überhaupt die Kenntnis besaßen, sehr zurückhaltend reagiert. Die hatten offensichtlich Angst, in ein Wasser reinzutreten, dessen Ufer sie nicht gesehen haben.

- Halten Sie's denn für einen Mangel des BDSG, daß es keine Haftungsnormen setzt und hier also nicht eindeutig erklärt, wann der DSB, das speichernde Unternehmen oder Risikopersonen zur Haftung gezogen werden könnten?

Diese Frage wurde auch in den Gremien zur Konzeption des Gesetzes, in Bundestag und Bundesrat sehr nachdrücklich diskutiert. Man hat sich dort auf den Standpunkt gestellt, das Bundesdatenschutzgesetz soll gerade Haftungstatbestände vermeiden - was erklärtes Ziel des BDSG ist. Man hat zwar darüber nachgedacht, was passiert denn, wenn Anforderungen des BDSG nicht entsprochen wird? Welche Folgen hat das zivilrechtlich? Aber da hat man sich einfach faktisch nicht in der Lage gesehen, dies in eine realistische Norm zu gießen. Da war die Frage, ob man das verschuldensabhängig oder verschuldens-unabhängig macht, in Form einer Gefährdungshaftung oder wie auch immer.

Das Problem ist auch deswegen interessant, weil wir in den Bereich der Produzentenhaftung kommen - ein völlig unbeackertes Feld. Ob die speichernde Stelle nach den Grundsätzen der Produzentenhaftung haftet, muß der gerichtlichen Entscheidung vorbehalten bleiben, die wir noch nicht haben.

- Der DSB handelt in seiner Eigenschaft als Datenschutzbeauftragter als Fachmann, insofern weisungsunabhängig. Sie haben daraus abgeleitet, daß ein Betroffener nicht unmittelbaren Durchgriff auf den DSB haben kann?

Nicht in Form eines Erfüllungsanspruches.

- Nun wird sich natürlich kein Unternehmen die Chance nehmen lassen, den DSB beispielsweise wegen mangelhafter Vertragserfüllung in Regreß zu nehmen, oder seh' ich das falsch?

Da haben Sie recht. Sie müssen aber zwei Ebenen unterscheiden: Die eine ist die aus der Sicht des Betroffenen, das heißt also: Kann der Betroffene gegen den Datenschutzbeauftragten selbst eigene Ansprüche geltend machen und diese zivilrechtlich durchsetzen - wie Erfüllungsanspruch? Die zweite Ebene ist: Kann der Unternehmer, die speichernde Stelle, aus dem Arbeitsverhältnis heraus intern gegen den Datenschutzbeauftragten Regreß nehmen, wenn die Unternehmung, sprich: speichernde Stelle, über die Grundsätze meinetwegen der Produzentenhaftung von außenstehenden betroffenen Dritten in Anspruch genommen wird?

Sie wissen, daß ein Arbeitgeber grundsätzlich für seine Arbeitnehmer Fürsorgepflichten zu erfüllen hat. Gerade der DSB steht ja in der Zielscheibe der Kritik von innen und von außen und ist auch vielfach in seinen Aufgaben überfordert. Deswegen würde ich gerade beim Datenschutzbeauftragten davon ausgehen, selbst wenn er Leitender Angestellter ist, daß der Arbeitgeber, die speichernde Stelle, den Datenschutzbeauftragten grundsätzlich freizustellen hat und nicht intern Regreß gegen ihn nehmen kann - es sei denn, der Datenschutzbeauftragte hat seine Verpflichtungen grob fahrlässig oder gar vorsätzlich verletzt.

- Aber auch hierzu ist festzuhalten, es gibt noch keine Urteile, und es könnte die Kanone nach beiden Seiten schießen?

Da haben Sie völlig recht.

- Wenn Sie den DSB nun ausdrücklich ausnehmen - gilt dies auch für die "Risikoperson ", für das Hilfspersonal?

Die Frage kann ganz eindeutig dahingehend beantwortet werden, daß es hier keinen Unterschied zu den anderen 1 Fachabteilungen in den Betrieben gibt. Hier haftet der Unternehmer nach außen hin mit Sicherheit für den Erfüllungsgehilfen, dessen er sich bedient.

- Nun kann der DSB seine eigene Abteilung wunderbar organisieren. Wie aber ist es, wenn beispielsweise bei der Fernverarbeitung ein Code geknackt wird? Wenn Probleme entstehen, die außerhalb der DSB-Kontrolle liegen?

Nehmen wir den klassischen Fall: Einer schleicht sich in ein Rechenzentrum ein und stiehlt Magnetbänder. Wieder Problemkreise. Einmal haben sie als speichernde Stelle die Verpflichtung, wenn sie personenbezogene Daten speichern, die zur Übermittlung an Dritte bestimmt sind, diese sorgfältig aufzubewahren und zu sichern. Sie haben eine Zugriffssicherungsverpflichtung - das ist der Paragraph 6 - sie haben eine Verlustsicherungsverpflichtung. Wenn jetzt der Dieb hineinspazieren kann in diesen Raum, ohne durch besondere Sicherheitsvorkehrungen daran gehindert zu werden, dann ist über diese Vorschrift des Paragraph 6 und des Organisationsverschuldens ganz allgemein wiederum die speichernde Stelle verantwortlich.

- Wie immer ist aber in solchen Dingen die Frage des Beweises wesentlich. Wie leicht hat es der Betroffene, der speichernden Stelle nachzuweisen, daß durch deren Fehler der Schaden entstanden ist.?

Auch das ist ein wunder Punkt, der heute zwar nicht richterlich, aber in der Literatur einhellig dahingehend beantwortet wird, daß wir hier über die Regeln der Umkehr der Beweislast dahin kommen, daß zwar der Betroffene einen Verstoß beziehungsweise eine Rechtsverletzung substanziiert dartun muß - und jetzt kommt die Umkehr: Der Unternehmer aber, die speichernde Stelle, wiederum nachweisen muß, daß ihm nicht hierfür die Verantwortung obliegt. Das heißt, daß er nicht schuldhaft gegen irgendwelche Vorschriften verstoßen hat.

- Welche grundsätzlichen Dinge im Zusammenhang mit dem Paragraphen 6 BDSG würden Sie Unternehmen und Datenschutzbeauftragten empfehlen, um hier Haftungsrisiken so klein wie möglich zu halten?

Ich habe die Erfahrung gemacht, daß Leiter von Rechenzentren, die nicht Juristen sind und aus der EDV-Branche kommen, mit diesen Problemen wirklich überfordert sind. Gerade im Hinblick auf den neuen Paragraphen 6 BDSG sollte sich jeder, der mit DV beschäftigt ist, umfangreichst informieren, welche Risiken ihn persönlich und seine Unternehmung treffen.

- Würden Sie dem Rechenzentrumsleiter beim Einkauf empfehlen, eine Generalklausel in den Vertrag aufzunehmen, ob das Produkt den Anforderungen des Paragraphen 6 entspricht?

Diese Frage - muß ich Ihnen ehrlich sagen - ist eine absolut neue Frage. Die prüfen wir zur Zeit. Ich würde aber empfehlen: Die Verträge, die wir jetzt jahrelang immer in dieser Branche verwenden, Herstellerverträge, Software-Lizenzverträge, Softwareverträge, Organisationsverträge und so weiter, sollten gerade unter dem Gesichtspunkt der Grundsätze ordnungsgemäßer Datenverarbeitung und des Paragraphen 6 BDSG neu überdacht werden.