In der BASF machte man sich schon frühzeitig Gedanken über etwaige Auswirkungen eines Bundesdatenschutzgesetzes. Wie in vielen anderen Firmen ging dabei die Initiative von der Datenverarbeitung aus, denn hier erkannte man sehr bald, daß diese Stelle vom BDSG zumindest in der Durchführung am meisten betroffen sein würde. Bereits im Februar 1975 berief der Vorstand der BASF AG einen Arbeitskreis (AK), dessen Teilnehmer aus den Ressorts Personal, Vetrieb, Rechnungswesen, Recht, Konzernrevision und Datenverarbeitung kamen. Aufgabe dieses Arbeitskreises war es, zunächst eine Bestandsaufnahme durchzuführen, wer, zu welchem Zweck und in welcher Form personenbezogene Daten im Bereich der inländischen BASF-Gruppe sammelt und gegebenenfalls weitergibt.

Neben dieser Hauptaufgabe der AK-Mitglieder trat mehr und mehr die Mitwirkung bei verschiedenen externen Institutionen in den Vordergrund. Mitgearbeitet wurde bzw. wird heute noch beim: BDI, BDA, AWV, VCI, und zwar dort in einem Ad-hoc-Ausschuß BDSG innerhalb des Fachausschusses Datenverarbeitung.

Nach Verabschiedung des Gesetzes im Bundestag und Bundesrat im November 1977 erschien dem Arbeitskreis die möglichst baldige Bestellung eines Datenschutzbeauftragen nach Paragraph 28 des BDSG als wichtigste Maßnahme.

Der Arbeitskreis kam zu dem Ergebnis, der Geschäftsleitung zu empfehlen, zum Datenschutzbeauftragten der BASF AG den Leiter der Datenverarbeitung zu bestellen. Auf keinen Fall aber sollte eine eigene Stelle für diese Aufgabe geschaffen werden. Der Arbeitskreis ließ sich von folgenden Gedanken leiten:

1. Das Gesetz verlangt vom Datenschutzbeauftragten Fachkunde; es weist ihm u.a. folgende Aufgaben zu:

- die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen

- die in der Datenverarbeitung tätigen Personen durch geeignete Maßnahmen mit dem Datenschutz vertraut zu machen und

- an der Auswahl der in der Datenverarbeitung tätigen Personen beratend mitzuwirken.

2. Der Arbeitskreis hat überprüft, in welcher Weise der Datenschutzbeauftragte im Unternehmen sinnvoll institutionalisiert werden kann. Nur drei Lösungsmöglichkeiten kamen ernsthaft in Betracht:

- der Leiter der Konzernrevision,

- der Leiter einer direkt dem Vorstand unterstellten neu zu bildenden Abteilung Datenschutz und

- der Leiter der Abteilung Datenverarbeitung.

Gegen die Bestellung des Leiters der Konzernrevision spricht, daß auch der Datenschutzbeauftragte der Revision unterworfen sein sollte; gegen die Bildung einer eigenen Abteilung der damit verbundene organisatorische und kostenmäßige Aufwand. Gegen beide und für den Leiter der Abteilung Datenverarbeitung sprechen die nachfolgenden Erwägungen.

3. Die Situation des Datenschutzbeauftragten ist, bei genauerer Betrachtung, gut vergleichbar mit der des Umweltschutzbeauftragten. Abteilung Datenverarbeitung ist eine Service-Stelle und wird grundsätzlich nur nach Auftrag und nie von sich aus tätig.

4. Der Ort der technischen Abwicklung ist für die tatsächlichen Kontroll-Möglichkeiten entscheidend; daher hielt er der Arbeitskreis für nicht vertretbar, einen Konzernbeauftragten für den Datenschutz in Deutschland zu bestellen.

5. Unbeschadet der Weisungsfreiheit der Datenschutzbeauftragten gemäß Paragraph 28 Absatz 3 BDSG muß eine einheitliche Auslegung und Anwendung des Gesetzes im Rahmen der inländischen BASF-Gruppe gewährleistet sein. Deshalb sollte dem Datenschutzbeauftragten der BASF Aktiengesellschaft gleichzeitig die Koordination innerhalb der BASF-Gruppe für Fragen des Datenschutzes mitübertragen werden.

Die künftigen Aufgaben des Datenschutzbeauftragten der BASF-Aktiengesellschaft bestehen im wesentlichen in folgenden Punkten:

1. Einmalige Aufgaben in der Einführungsphase

- Information der Gruppengesellschaften

- Information der Bereiche in der BASF AG, die am meisten vom Datenschutzgesetz betroffen sind (Personalabteilung, Ärztliche Abteilung, Werbeabteilung und Öffentlichkeitsarbeit, Vertrieb, Rechnungswesen, Finanzabteilung, Patentabteilung usw.)

- Veranlassen von Vertragsklauseln in z.B. Allgemeine Geschäftsbedingungen, Lieferbedingungen, evtl. Arbeitsverträgen

- Festlegung der zu führenden Unterlagen

2. Ständige Aufgaben

- Führung von Unterlagen über Art, Zwecke, Ziele und Empfänger der personenbezogenen Daten, ferner über die Sicherungsregelungen bei der Abteilung Datenverarbeitung und den jeweiligen Fachbereichen

- Überwachung der ordnungsgemäßen Anwendung der einschlägigen Programme

- Überwachung der ordnungsgemäßen Einhaltung der Richtlinien gemäß Paragraph 6 BDSG

- Registrierung und Weiterleitung von Auskunftsersuchen, Kontrolle der Berechtigung und Identifikation der Auskunftssuchenden

- Unterrichtung der mit Personendatenverarbeitung befaßten DV-Mitarbeiter über die Schutzvorschriften

- Rechtzeitige Kontrolle von neuen Anwendungen, Auswertungen und Dateien darauf, ob sie personenbezogene Daten enthalten und ob dabei Datenschutzgesichtspunkte zu berücksichtigen sind

* Alwin Konrad ist Datenschutzbeauftragter der BASF-Aktiengesellschaft. Der Beitrag gibt auszugsweise einen Vortrag wieder, der auf einem ASB-Seminar in Heidelberg gehalten wurde.