Da das Bundesdatenschutzgesetz ein Rahmengesetz ist, das allen vorrangigen Rechtvorschriften zur Behandlung personenbezogener Daten den Vortritt läßt, muß sich der Anwender darüber Klarheit verschaffen, welche Rechtsvorschriften dem BDSG vorgehen.

Die Wirkung der Rechtsvorschriften kann eine Erlaubnis oder eine Einschränkung enthalten; je nach Art der Bestimmungen kann sich die Notwendigkeit oder das Verbot der Speicherung von Daten ergeben. Ja, es kann sogar soweit gehen, daß eine Rechtsvorschrift die Speicherung von Daten zuläßt, hinsichtlich ihrer Aufbewahrung bestimmte Fristen setzt, die Übermittlung aber auf wenige Fälle einschränkt. Beispiele hierzu lassen sich im Steuerrecht, insbesondere im ° 39 b Einkommensteuergesetz, aber auch im Beitragsrecht und vielen Gesetzen des Sozial- und Arbeitsrechts finden.

Unübersehbares Feld

Eine komplette Darstellung der vorrangigen Bestimmungen ist weder zusammen mit dem BDSG herausgekommen noch in absehbarer Zeit zu erwarten. Da sich die vorrangigen Vorschriften nicht nur auf Gesetze und Verordnungen beschränken, sondern auch auf Erlasse, Verwaltungsvorschriften und Richtlinien einwirken (zum Beispiel die Gemeinsamen Grundsätze der Sozialversicherungsträger zum Beitragseinzug und zum Meldewesen), soweit diese in Ausfüllung von Rechtsvorschriften erfolgen wird das Feld fast unübersehbar. Zudem können Tarifverträge, ja sogar Betriebsvereinbarungen zu den vorrangigen Rechtsvorschriften zählen, nämlich dann, wenn ein Gesetz oder eine Verordnung eine Öffnung beinhaltet, deren Ausfüllung einem Tarifvertrag oder einer Betriebsvereinbarung vorbehalten ist.

Nicht der Mühe wert

Ein Durchkämmen aller Gesetze, Verordnungen etc. zur Feststellung aller Vorschriften, die den Datenschutz im Sinne des BDSG berühren, erscheint vor diesem Hintergrund zwecklos, ganz abgesehen von der Mühe, die damit verbunden wäre. Es ist daher ein anderes Verfahren zu suchen, damit die Rechtsgrundlagen, nach denen personenbezogene Daten in den Betrieben verarbeitet werden, festgestellt werden können.

Eine erfolgversprechende Methode scheint das fallbezogene Vorgehen zu sein. Je Anwendung, das bedeutet in der Praxis: Je Datei wird eine Feststellung der tangierten Rechtsgebiete unternommen. Dies wird zu einer Aufgabe des Datenschutzbeauftragten werden, da nur er den Umfang der nach BDSG zu schützenden Anwendungen im Unternehmen kennt. Die Schwierigkeit hierbei sei allerdings nicht verschwiegen: Die Feststellung der Rechtsgrundlagen zu jedem gespeicherten Begriff - dies läßt sich im Rahmen der Dateibeschreibung zuordnen - reicht nicht. Es müssen jedoch weiterhin die Vorschriften für die Aufbewahrung dokumentiert werden (hieraus ergibt sich auch der Termin für eine zulässige Löschung) und es bedarf der Darstellung der Vorschriften zur Übermittlung.

Fallbeispiele

Da eine Datenübermittlung durch Weitergabe von Daten aus dem Rechenzentrum durch Bereitstellung von Daten zum Abruf, durch die Gewährung von Zugriffsrechten gegenüber dritten (dies ist durchaus denkbar im Konzernverbund), aber auch durch Auskünfte und Bescheinigungen seitens der Fachabteilungen stattfinden kann, ist der Übermittlungsfall vielfältig und kaum in eine systematische Darstellung zu pressen, es sei denn, man sammelt für den Bereich der Auskünfte und Bescheinigungen (man denke nur an die Vielfalt im Personalwesen) Fallbeispiele unter Einbeziehung der jeweiligen Vorschriften. Daß dabei auch die Auskunftsbegehren kritisch unter die Lupe genommen werden müssen, versteht sich - leider - von selbst. Nur wenige Rechtsvorschriften geben den Bescheinigungsinhalt verbindlich vor, so daß die Interpretation des Auskunftheischenden vom Unternehmen geprüft werden muß.

Die Gesellschaft für Datenschutz und Datensicherung hat kürzlich die Gründung einiger Fachgruppen zur Klärung spezieller Anwendungsfragen beschlossen. Dabei ist auch vorgesehen, daß sich eine Fachgruppe der vorranggigen Rechtsvorschriften annehmen soll, wobei die Teilnehmer vorerst das betriebliche Personalwesen untersuchen wollen, und zwar anhand konkreter Beispiele aus Firmen unterschiedlicher Größe und Branche. Die GDD ruft Interessenten auf? Vorschläge zur Mitarbeit einzureichen, damit die entsprechende Information rechtzeitig zum Jahresende für die Betriebe veröffentlicht werden kann.

*Hans Gliss ist designierter Datenschutzbeauftragter bei der Mannesmann Datenverarbeitung Lintorf und Gründungsmitglied der Gesellschaft für Datenschutz und Datensicherung (GDD)