Mehr Verwirrung als Klärung hat das am 1. Juni 1991 in Kraft getretene neue Bundesdatenschutzgesetz (BDSG) gebracht. Zu diesem Schluß gelangt Eugen Ehmann* bei einer Analyse der Situation, die sich durch die Gesetzesnovelle ergeben hat.

Das neue Bundesdatenschutzgesetz ist das Ergebnis eines politischen Kompromisses. Benutzerfreundlichkeit und Verständlichkeit des Gesetzestextes mußten dabei immer wieder hinter der Notwendigkeit zurücktreten, überhaupt zu einer Lösung zu gelangen. Wohl nirgends wird dies so deutlich wie bei den Regelungen über die Datenerhebung in der Privatwirtschaft.

Diese Vorschriften entscheiden vor allem darüber, unter welchen Voraussetzungen und unter welchen Umständen ein Unternehmen seinen Mitarbeitern und Kunden personenbezogene Daten abfordern darf.

Über weite Strecken des Gesetzgebungsverfahrens war beabsichtigt, diese Fragen überhaupt nicht gesetzlich zu regeln. Gewissermaßen kurz vor Torschluß wurde dann unter dem Zwang zum politischen Kompromiß an versteckter Stelle (° 28, Absatz 1, Satz 2 BDSG, ° 29, Absatz 1, Satz 2 BDSG) eine sehr allgemein gehaltene Regelung von großer Tragweite eingefügt: "Die Daten müssen nach Treu und Glauben und auf rechtmäßige Weise erhoben werden."

Wann diese Voraussetzungen erfüllt sein sollen, verrät der Gesetzgeber den betroffenen Privatunternehmen nicht. Auch der gern gegebene Hinweis, diese Regelung sei aus der Datenschutzkonvention des Europarats übernommen, hilft dem Praktiker nicht weiter: Dort sind die Begriffe nämlich genausowenig erläutert.

Für das Arbeitsleben wird man davon ausgehen müssen, daß durch das Erfordernis, die Daten auf "rechtmäßige" - nicht etwa nur auf "gesetzmäßige" - Weise zu erheben, die gesamte Rechtsprechung zum Fragerecht des Arbeitgebers Bestandteil des Datenschutzrechts geworden ist. Ein Beispiel: Fragt künftig ein Personalchef eine Frau vor der Einstellung, ob sie schwanger sei, dann hat er damit auch gegen das Datenschutzrecht verstoßen, nicht nur gegen das Arbeitsrecht. Das könnte für die Praxis belanglos sein, da sich daraus keine zusätzlichen rechtlichen Konsequenzen gegenüber der Bewerberin ergeben, wenn mit der Neuregelung der Datenerhebung nicht auch eine Aufgabenerweiterung für den betrieblichen Datenschutzbeauftragten verbunden wäre.

Der betriebliche Datenschutzbeauftragte hat die Ausführung der Vorschriften über den Datenschutz im Unternehmen sicherzustellen (° 38, Absatz 1, Satz 1 BDSG). Zu diesen Vorschriften gehören künftig zweifelsfrei auch die Regelungen über die Datenerhebung. Er wird sich daher künftig sehr intensiv mit Datenerhebungsbögen für Arbeitnehmer, Kundenfragebögen etc. auseinandersetzen müssen, wenn er seine Pflichten wirklich erfüllen will. Dadurch wachsen ohne Zweifel die Anforderungen an seine rechtliche Fachkunde in erheblicher Art und Weise. So wird er künftig die Rechtsprechung der Arbeitsgerichte zum Fragerecht des Arbeitgebers durchaus auch in den Details parat haben müssen - kein leichtes Unterfangen!

Durch die neuen gesetzlichen Regelungen ist die Rolle des Datenschutzbeauftragten insgesamt problematischer geworden. Absicht des Gesetzgebers war es, seine Stellung im Unternehmen zu stärken. Daß dies gelungen ist, wird man im Ergebnis nicht sagen können. So erscheint die Regelung, wonach der betriebliche Datenschutzbeauftragte nur unter ganz besonderen Voraussetzungen abberufen werden darf (° 36, Absatz 3, Satz 4 BDSG) aus der Sicht eines betrieblichen Datenschutzbeauftragten sicher zunächst attraktiv, denn letztlich läuft sie für ihn auf einen nahezu lückenlosen Kündigungsschutz hinaus.

Bei näherem Hinsehen erweisen sich allerdings auch die Nachteile eines solchen Kündigungsschutzes: Die Arbeit des betrieblichen Datenschutzbeauftragten wird verstärkt auf ihre Effektivität für das Unternehmen überprüft, denn für die Belastung durch den besonderen Kündigungsschutz wollen die Unternehmen verständlicherweise auch eine entsprechende Leistung sehen. Jüngere Betriebsangehörige haben deutlich geringere Chancen, überhaupt Datenschutzbeauftragter zu werden, da das Unternehmen eine unter Umständen jahrzehntelange Bindung scheut. Und nicht zuletzt: Gerade mittlere Unternehmen suchen externe Lösungen, beispielsweise durch Datenschutzberater-Verträge mit den wenigen in Datenschutzfragen sachkundigen Anwaltskanzleien.

Am gravierendsten wiegt, daß die ohnehin vorhandene Neigung leider nicht weniger Unternehmen, überhaupt keinen Datenschutzbeauftragten zu bestellen und damit gegen die gesetzlichen Vorschriften zu verstoßen, noch verstärkt wird. Eine solche Haltung kann sich allerdings rasch als teurer Irrweg erweisen.

Zum einen besteht die Möglichkeit, daß die zuständigen Behörden darauf mit einem Bußgeld reagieren. Vor allem aber schadet sich ein Unternehmen selbst, wenn es die überall auftretenden Datenschutzfragen verdrängt, anstatt sie mit Hilfe eines betrieblichen Datenschutzbeauftragten einer Lösung zuzuführen.

Im Extremfall kann das Ignorieren von Datenschutzfragen dazu führen, daß die zuständige Datenschutzaufsichtsbehörde eingreift und den Einsatz eines unsicheren DV-Verfahrens untersagt. Diese Möglichkeit hat der Gesetzgeber im novellierten Bundesdatenschutzgesetz völlig neu geschaffen, ohne dabei allerdings konsequent zu sein: Einschreiten kann die Aufsichtsbehörde nur gegen Verfahren, bei denen gravierende Datensicherungsverstöße vorliegen, die trotz behördlicher Aufforderung nicht beseitigt werden. Die unzulässige Speicherung von Daten berechtigt dagegen nicht zu behördlichen Stillegung eines DV-Verfahrens.

Etwas überspitzt könnte man sagen: Auch wenn ein Unternehmen Daten unzulässigerweise speichert, droht gleichwohl keine Stillegung des Verfahrens, solange diese unzulässige Speicherung nur unter Beachtung der Datensicherheit erfolgt. Es mag sein, daß der Gesetzgeber das Gesetz in diesem Punkt noch einmal nachbessert.

Europäischer Datenschutz erscheint am Horizont

Jedenfalls läßt sich feststellen, daß die Datensicherungsfragen durch die Möglichkeit, den Einsatz unsicherer Verfahren zu untersagen, einen deutlich höheren Stellenwert als bisher haben. Das erhöht wohl auch die Bereitschaft der Unternehmen, künftig (noch) mehr Mittel für die Datensicherheit einzusetzen.

Geschäftsbeziehungen mit dem Ausland sind gerade in der Mittelständischen Wirtschaft die Regel, nicht etwa die Ausnahme. Das umfassende "Datenschutz-Paket" der EG wird dort wohl die deutlichsten Auswirkungen zeigen, wenn es erst einmal in Kraft getreten ist. Ungeachtet aller noch offenen Details zeichnen sich inzwischen relativ klare Konturen für die zu erwartenden Regelungen ab. Innerhalb der EG wird es über kurz oder lang einen "datenschutzrechtlichen Binnenraum" geben, in dem personenbezogene Daten ohne Behinderung durch erschwerende nationale Regelungen frei fließen können, solange nur die Vorgaben der EG-Vorschriften eingehalten sind. Vorstellungen, die EG wolle hier nur "Mindeststandard" schaffen, von denen die nationalen Gesetzgeber durchaus "nach oben" abweichen dürften, hat EG-Kommissar Martin Bangemann zurecht eine deutliche Absage erteilt. Damit würde der angestrebte einheitliche Wirtschaftsraum in datenschutzrechtlicher Hinsicht nämlich gerade nicht erreicht.

Die Modalitäten, nach denen Daten in Drittstaaten außerhalb der EG fließen dürfen, wird gleichfalls die EG-Kommission prägen, nicht der nationale Gesetzgeber. Jedenfalls was die wichtigen Exportpartner wie die USA angeht, ist dabei nicht mit allzu hohen Barrieren zu rechnen. Die EG-Kommission wird schwerlich einen "Datenschutz-Handelskrieg" vom Zaun brechen mit der Begründung, die in diesen Ländern getroffenen Datenschutzregelungen seien ungenügend.

EG-Vorschriften erzwingen Mindeststandards

Gleichwohl würde man es sich zu einfach machen, wollte man in den zu erwartenden EG-Vorschriften nur eine "Nivellierung nach unten" sehen. Wichtige EG-Staaten wie Italien und Belgien verfügen nach wie vor nicht über nationale Datenschutzgesetze. Hier werden die EG-Vorschriften gewisse Mindeststandards erzwingen, deren Qualität durchaus beachtlich erscheint. Den grenzüberschreitend tätigen Unternehmen kann dies im Prinzip nur recht sein: Wer die Diskussionen mit mißtrauischen Betriebsräten über Datenexporte in diesen Länder kennt, weiß, daß die bisher dort üblichen "datenschutzrechtlichen Nullösungen" keineswegs im wohlverstandenen Interesse der Wirtschaft liegen.