Die Entstehungsgeschichte der Vorschriften über die Datensicherung nach dem BDSG macht deutlich, wie der Gesetzgeber zwischen allgemeinen und konkreten Aussagen geschwankt hat. So beschränkte sich der Regierungsentwurf darauf, ganz allgemein die "erforderlichen und zumutbaren technischen und organisatorischen Maßnahmen gegen Mißbräuche bei der Datenverarbeitung" vorzuschreiben.

In den Ausschußberatungen wurde die zu allgemein gehaltene Vorschrift kritisiert und die Anlage zum Gesetz geschaffen. Aus den zunächst elf Anforderungen für automatisierte und nichtautomatisierte Verfahren wurde durch Wegfall der Protokollpflicht für Eingabe und Abruf die jetzige Anlage mit den "zehn Geboten", die nur für automatisierte Verfahren gilt. Die gewählte Gesetzestechnik ist zwar ungewöhnlich, ist aber ein den Besonderheiten der Datenverarbeitung angepaßter gelungener Kompromiß. Die Anforderungen der Anlage sind konkretisierte Gesetzesziele. Bewußt verzichtet das Gesetz darauf, einzelne konkrete Maßnahmen vorzuschreiben.

Die allgemeine Diskussion über die Datensicherung nach dem BDSG konzentriert sich derzeit auf zwei Problemkreise:

- Müssen stets alle Anforderungen der Anlage, alle "zehn Gebote der Datensicherung" immer mit Maßnahmen ausgefüllt werden?

- Wann scheiden einzelne Maßnahmen deswegen als unangemessen aus, weil ihr Aufwand den Schutzzweck übersteigt?

Mindestbefehl: Zehn Gebote

Nach dem Wortlaut des ° 6 Abs. 1 Satz 1 BDSG müssen in automatisierten Verfahren alle Anforderungen der Anlage jeweils mit Maßnahmen ausgefüllt werden. Der Gesetzestext meint das wohl als Mindestbefehl; durch die Formulierung ". . ., insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen..." wird der Anwender dem Anschein nach verpflichtet, im Einzelfall sogar über die "zehn Gebote" auch hinauszugehen, sie jedenfalls alle zu erfüllen. Eine nähere Betrachtung erweist jedoch im Ergebnis etwas anderes:

Einmal versteht sich - trotz des Gesetzeswortlauts - fast von selbst, daß diejenigen Anforderungen im Einzelfall nicht bedient zu werden brauchen, deren Voraussetzungen schon durch die Ausgestaltung des Verfahrens überhaupt nicht in Betracht kommen. So ist eine Zugriffskontrolle nach Nr. 5 in der Anlage leer-lagernd, wenn im konkreten Fall nicht durch selbsttätige Einrichtungen zugegriffen wird. Oder: Eine Auftragskontrolle nach Nr. 8 der Anlage ist nicht denkbar, wenn keine Auftragsdatenverarbeitung gegeben ist.

Zum anderen können im konkreten Einzelfall - wenn das auch nicht häufig sein mag - alle unter eine Anforderung der Anlage fallenden Maßnahmen als unangemessen ausfallen, weil eben ihr Aufwand im Verhältnis zum Schutzzweck nicht im vom Gesetz geforderten Verhältnis steht (darüber unter Nr. 3).

Übersicherung ist unverhältnismäßig

Und schließlich: Jedes Gesetz steht unter dem Verfassungsgebot des Verhältnismäßigkeitsprinzips. Es kann vom Verpflichteten nur das gefordert werden, werden was zur Erreichung des Gesetzeszieles notwendig ist.

Orientierungshilfen

Das BDSG schreibt nicht konkret bestimmte Maßnahmen vor. Zwei Orientierungshilfen bietet das Gesetz: Danach sind Maßnahmen nur dann erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht (° 6 Abs. 1 Satz 2). Zum anderen sind für automatisierte Verfahren die Maßnahmen danach auszurichten, inwieweit sie nach Art der zu schützenden personenbezogenen Daten dafür geeignet sind.

Folglich müssen die Maßnahmen

- geeignet sein, den Schutzzweck des BDSG zu fördern;

- erforderlich sein in der Weise, daß ohne sie der Schutzzweck nicht erreicht würde;

- angemessen sein im Verhältnis zwischen Aufwand, den sie verursachen und dem Schutzzweck, dem sie dienen und

- ausreichend sein, sie müssen also in ihrer Gesamtheit den Schutzzweck des Gesetzes wirklich erreichen.

Geeignet sind Datensicherungsmaßnahmen, wenn sie den Schutzzweck des BDSG fördern. Schutzzweck des BDSG ist, dem Mißbrauch personenbezogener Daten konkret entgegenzuwirken. Geeignet sind auch solche Maßnahmen, die ihn nur teilweise fördern.

Gegenüberzustellen sind der Aufwand für die einzelne Maßnahme und der an der Art der zu schützenden Daten orientierte Schutzzweck. An Kriterien für den Aufwand bietet sich die betriebliche Kostenrechnung an, die die Gesamtkosten für eine Maßnahme recht zuverlässig ermitteln kann. Sehr viel schwieriger ist der Schutzzweck zu bestimmen. Er ist nur schwer in Geld auszudrücken. In Betracht kommen:

- Der Schadensersatz, der zu leisten wäre, wenn wegen nicht getroffener Sicherungsmaßnahmen der Anwender vom Betroffenen in Anspruch genommen wird.

- Eine bestimmte Quote des Gesamtaufwandes der Datenverarbeitung für die Summe der Datensicherungsmaßnahmen. Um einen Richtpunkt zu geben: Als Rahmen bietet sich nach vorliegenden - allerdings sehr sporadischen - Erkenntnissen ein bis fünf Prozent an.

- Erhöhter Aufwand ist zu treffen für empfindliche Daten wie Angaben über gesundheitliche Verhältnisse, Angaben über Ordnungswidrigkeiten, religiöse oder politische Anschauungen.

- Ein erhöhter Aufwand ist ferner zu treffen, wenn über den gleichen Betroffenen vom gleichen Anwender Daten aus zahlreichen Lebensbereichen gespeichert werden, die Informationssumme sich also einem Dossier nähert.

- Ein erhöhter Aufwand ist schließlich notwendig, wenn eine umfangreiche Datenfernverarbeitung eingerichtet ist.

Zur Datensicherung verpflichtet ist der Anwender, an den sich der Gesetzesbefehl richtet. Er muß in eigener Verantwortung unter den in Betracht kommenden Datensicherungsmaßnahmen jene auswählen, die den Kriterien für die Einzelmaßnahme und in automatisierten Verfahren den Anforderungen des Gesetzes entsprechen.

*Joachim Schweinoch ist Ministerialdirigent im Bayerischen Staatsministerium des Inneren.