Die Aufsichtsbehörde:

Zur Fremdkontrolle befähigt?

10.06.1977

-Zum 1. Juli müssen die betrieblichen Datenschutzbeauftragten bestellt sein: Wieviele Betriebe aus der Anzahl der betroffenen Unternehmen sind dieser Verpflichtung schon nachgekommen?

Über die Zahl der bestellpflichtigen Unternehmen gibt es nur Schätzungen: Die Zahl schwankt zwischen 10 000 und - ich greife da wesentlich höher - 60000 bis 70000. Bisher dürften etwa 5000 bis 6000 Unternehmen ihren Datenschutzbeauftragten bestellt haben; das hat angeblich die Untersuchung eines Herstellers ergeben.

- In manchen Betrieben soll die laxe Auffassung dominieren, ich lasse das BDSG erst mal auf mich zukommen und unternehme zunächst selbst nichts. Trifft dies nach den Erfahrungen der GDD zu?

Sicher gibt es Unternehmen, die so verfahren. Aber ich bin selbst überrascht wieviele Betriebe das BDSG ernst nehmen. Da sind Unternehmen dabei, die seinerzeit bei der Einführung des Arbeitsschutzgesetztes furchtbaren "Bohei" gemacht haben, die heute aber freiwillig mehr Datenschutz als erwartet machen wollen.

- Heißt das, daß das Gesetz in seiner gesamten Aussage als nützlich und notwendig akzeptiert wird oder erfüllt man seine Auflagen nur, weil man sich ohnehin nicht wehren kann?

Es trifft sicherlich beides zu. Aber eine Reihe von Unternehmen sieht das BDSG auch als günstige Gelegenheit, endlich die Daten-Sicherheit im Unternehmen zu realisieren, die früher aus psychologischen Gründen, etwa wegen des Mißtrauens des Betriebsrats, nicht durchzusetzen war.

- Wie beurteilen Sie nun die Qualifikation von Datenschutzbeauftragten, die zu ihrem bisherigen Aufgabengebiet im Unternehmen eine Quasi-Funktion als Datenschutz-Beauftragter mitübernehmen?

In vielen Fällen sind die Leute, die den Datenschutz machen, Alibi-Datenschützer. Vor allen Dingen vermuten wir das bei manchen Leuten, die aus der Rechtsabteilung stammen und nur zum Zwecke des Alibis Datenschutzbeauftragter werden. Die haben auch gar nicht das Interesse, sich in Fragen einzuarbeiten, sondern sagen sich: Ich bin Jurist, ich bleibe Jurist und ich liefere ein paar Grundverfügungen für das Unternehmen, nach dem Motto: Bitte beachtet das Bundesdatenschutzgesetz.

- Und wie stehen Sie dazu, daß der bisherige EDV-Leiter auch Datenschutzbeauftragter wird?

Ich bin der Ansicht, der "Datensicherungsmann" kann es durchaus sein, weil er für die Realisierung und die Durchführung des EDV-technischen Datenschutzes zuständig ist. Im Sinne der Funktionstrennung zwischen anweisender und ausführender Stelle sollte er es jedoch mit Sicherheit nicht sein. Gerade bei einem Großbetrieb stehe ich auf dem Standpunkt, daß dieser sich einen hauptamtlichen Datenschutzbeauftragten leisten kann und soll. Zumal ich große Chancen dafür sehe, daß in vielen Unternehmen der Datenschutzbeauftragte zur Rationalisierung beiträgt: Er wird nämlich bei der Datei-Inventur auch Datei- und Listenfriedhöfe an den Tag bringen.

- Vermuten Sie das oder wissen Sie's?

Ich weiß von Betrieben, die sich auf das BDSG eingestellt haben und die dann

festgestellt haben, daß eine ganze Reihe von Listen nicht mehr gebraucht wird, beziehungsweise, daß Listen in Stückzahlen angefertigt wurden, die nicht gebraucht wurden oder sich Listen nur noch in Anforderungen nach noch mehr Stahlschränken in den Büros niedergeschlagen haben. Wir machen es regelmäßig in den Betrieben so, daß wir stichprobenartig ein paar Listen aussenden und drei Tage nach dem Versand der Liste innerhalb des Hauses überprüfen, was ist mit ihr geschehen, wo liegt sie nun. Ich bin immer wieder begeistert von diesem Verfahren, denn meistens entdecken wir die Listen oben auf dem Schrank. Wenn man dann nachfragt, was ist denn damit gemacht worden, heißt es: Wir nehmen uns die und die Zahl raus, schreiben die in ein Formblatt, das wir uns abgezogen haben und das bekommt der Chef. Mit einem Auswertungsprogramm können Sie also einen Berg Listen sparen und da liegen also in einer - gewissermaßen vom Gesetz verordneten Inventur - echte Rattionalisierungs-Reserven.

- Sie gebrauchen den Ausdruck "Alibi-Datenschützer". Immerhin bleibt es eine, wegen der damit verbundenen Mehrarbeit, zunächst unangenehme Pflicht, die den EDV-Leiter hier trifft. Welche Aufklärung treibt nun die GDD, daß man draußen im Land, in den Betrieben, die Notwendigkeit des Gesetzes erkennt? Wir haben den Eindruck, die Leute wissen effektiv gar nicht, um welche Problematik es beim Datenschutz geht. Die sehen nur: Hier muß ich mit meiner Datei etwas tun - und sonst nichts.

Diese Aufklärung ist sicher Aufgabe der GDD. Wir machen das aber nicht, indem wir nun große Pressekampagnen finanzieren - diese Anzeigen kann die Bundesregierung in die Zeitungen rücken lassen. Als GDD können wir aber durch praxisorientierte Information in unseren Dokumentationen den Leuten den Datenschutz leicht machen. Wir können ihnen die Rezepte vorkauen, wie sieh Datenschutz in den Betrieben realisieren läßt. Wir wollen mit unseren Dokumentationen die Betroffenen am Händchen nehmen und sagen, das mußt du machen und das, um das Gesetz zu erfüllen und auf diese Art und Weise kannst du das realisieren.

- Sie wollen ein Rezept liefern: Nun gibt es aber nach wie vor das Problem, den BDSG-Text inhaltlich zu definieren. Und so gibt es zum Datei-Begriff, als Beispiel, überall andere Auffassungen. Wie gelingt es einem Betroffenem, sich hier die richtige Erläuterung zu verschaffen?

Nach meinem Dafürhalten ist diese Frage zwar wichtig - aber sie ist nicht bußgeldentscheidend. Das Gesetz läßt Interpretationen zu und so kann man auf dem einen oder anderen Standpunkt stehen. Solange man sich mit der Interpretation nicht vom Gesetz entfernt, ist jede Auffassung erlaubt.

- Zum Datei-Begriff vertritt der AWV in Frankfurt konkret eine andere Meinung als die GDD.

Wir stehen auf dem Standpunkt, daß sicherlich unsere Interpretion richtig ist. Wir versuchen bei unseren Interpretationen immer auch den Willen des Gesetzgebers heranzuziehen, was nicht immer ganz leicht ist. Denn nicht immer ist ein klarer Wille klar erkennbar und leider hat manchmal der Sachverstand gefehlt.

- Glauben Sie, daß es zu einer weiteren Begriffsverwirrung kommt oder klarere Verhältnisse entstehen, wenn nun die Länder ihre Ausführungs-Bestimmungen erfüllen?

Die Begriffsverwirrung wird deshalb kommen, weil es keine Ausführungs-Bestimmungen geben wird. Denn es wird lediglich nach Paragraph 30 die Aufsichtsbehörde bestimmt. Aufsichtsbehörde wird die Gewerbeaufsicht, eine kommunale Behörde. Ich fürchte, daß wir bei diesem Verfahren das Datenschutzgesetz ad absurdum führen werden, weil die Gewerbeämter als Aufsichtsbehörde einfach nicht in der Lage sind, diese Aufsieht zu gewährleisten und wenn sie diese Aufgabe ernst nehmen, so fehlt es doch an Sachverstand.

- Können Sie das konkretisieren?

Wie soll denn ein Obersekretär diese Aufgabe erfüllen, wenn er zwar mal bei einem Hersteller in der Stadt einen Computer gesehen hat, aber sonst nichts davon versteht. Wir kennen doch die Richtlinien zur Datenverarbeitung der öffentlichen Hand: Von Nichtfachleuten gemacht und so katastrophal, daß sie keiner anwenden kann. Es wird auch deshalb zur Rechtsunsicherheit kommen weil diese Aufsichtsbehörde vom Datenschutzbeauftragten in strittigen Fragen um Unterstützung angegangen werden kann. Da sehe ich ganz große Gefahren. Ich bin der Ansicht: Wenn wir schon Fremdkontrolle in From der Aufsichtsbehörde im Gesetz verankern, dann muß es eine Behörde sein, die zu der Fremdkontrolle in der Lage ist. Eigentlich müßten eigene Landesbehörden geschaffen werden. Gegen diese ist nichts einzuwenden, wenn sie nach einheitlichen Richtlinien verfahren, sich untereinander austauschen. Sonst besteht immer die Gefahr, daß Standortfragen und Steuerpräferenzen für den Datenschutz eine Rolle spielen.

,;

Dipl.-Kfm. Rainer v. z. Mühlen (34)

hat schon früh Gespür für die Sicherheitsbedürfnisse seiner Umwelt entwickelt und sich bereits 1971 mit seiner Unternehmensberatung ausschließlich auf Sicherheitsfragen spezialisiert. Konsequenterweise konnte da das Feld der Datensicherung im EDV-Bereich nicht unbestellt bleiben. So ist v. z. Mühlen Gründungs-Vorstandsmitglied der Bonner Gesellschaft für Datenschutz und Datensicherung - und ein Verfechter praktikabler Lösungen im Datenschutz.