Die im Entwurf eines Bundesdatenschutzgesetzes für den Datenschutzbeauftragten vorgesehenen Aufgaben werden in ihrer Zweckmäßigkeit zwar noch angezweifelt. Auch ist umstritten, ob der Datenschutzbeauftragte als Verantwortlicher für den Datenschutz in einem Unternehmen überhaupt gesetzlich vorgeschrieben sein sollte. So würde es den spezifischen Gegebenheiten des einzelnen Unternehmens sicher eher entgegenkommen, wenn die Durchführung des Datenschutzes allein die Verantwortung der jeweiligen Unternehmens-Leitung gelegt würde, die diese Aufgabe dann delegieren könnte.

Gleichwohl ist der Datenschutzbeauftragte auch ohne gesetzlichen Zwang in einer Vielzahl von Unternehmen bereits Wirklichkeit geworden. Diese Tendenz wird sich mit dem ständig steigenden Problembewußtsein unabhängig von einem Gesetz fortsetzen.

Rechtzeitig starten

Die Einrichtung der Position eines Datenschutzbeauftragten ist nicht nur in Unternehmen sinnvoll, die personenbezogene Daten für eigene Zwecke verarbeiten. Auch die geschäftsmäßig für Dritte tätigen Unternehmen können sich bei der Verwirklichung von Datenschutz und Datensicherheit nicht auf die Anweisungen und Kontrollen von Aufsichtsbehörden verlassen, sondern müssen schon aus Eigeninteresse selbst Schutzmaßnahmen ergreifen, bei deren Realisierung und Kontrolle ein Datenschutzbeauftragter wirksam werden kann. Die Probleme des Datenschutzes bestehen in einem Unternehmen unabhängig von einer gesetzlichen Datenschutzregelung, die zudem mit Sicherheit kommen wird. Daher sollte jedes Unternehmen im eigenen Interesse rechtzeitig beginnen, sie anzugehen.

An Geschäftsgeheimnisse denken

Aufgabe des Datenschutzbeauftragten wird, geht man von den gängigen Definitionen aus, sicher primär nicht der Datenschutz sondern die Datensicherung sein. Trotz mancherlei Begriffsverwirrung wird überwiegend unter Datenschutz zunächst der rechtliche Schutz der Privatsphäre des einzelnen vor mißbräuchlicher Verarbeitung personenbezogener Daten verstanden. Der Empfehlung, diesen Begriff auch auf die Regelung des Schutzes sonstiger Daten (Patente, Produktions- und Geschäftsgeheimnisse etc.) anzuwenden, muß man sich, was die Aufgaben des Datenschutzbeauftragten angeht, sicher anschließen. Datensicherung dagegen umfaßt die Aufgabe, den Schutz der Daten durch organische und technische Maßnahmen zu realisieren.

Aufbau- und Wirkungs-Phase

Seht ein Unternehmen, wie es zur Zeit meist noch der Fall sein wird, erst Anfang einer, umfassenden betrieblichen Organisation des Datenschutzes, in der sogenannten "Aufbauphase", so gehört zu den ersten Maßnahmen die Ernennung des Datenschutzbeauftragten und die Erstellung der Richtlinien für, seine Tätigkeit. Nach Abschluß des Aufbaus der Organisation des Datenschutzes beginnt mit der folgenden "Wirkungsphase" die eigentliche permanente Funktion des Datenschutzbeauftragten. Er hat die Durchführung und Befolgung der einzelnen Sicherungsmaßnahmen zu überwachen, sie zu verbessern und neuen gesetzlichen Vorschriften oder technischen Möglichkeiten anzupassen. Neu in die Verarbeitung aufzunehmende Daten sind in das Sicherungssystem einzubeziehen. Er wird insbesondere darauf zu achten haben, daß alle Sicherungsmaßnahmen unter dem Aspekt des Datenschutzes getroffen werden, was durchaus nicht immer

mit den Schutzinteressen des Datenverarbeiters im Einklang stehen wird.

Viele Schulungsaufgaben

Ferner obliegt es dem Datenschutzbeauftragten, die betroffenen Mitarbeiter mit den Problemen von Datenschutz und Datensicherung vertraut zu machen. Insbesondere müssen die Mitarbeiter der Fachabteilungen die bei dem Umgang mit den Daten die Sicherungsmaßnahmen im Detail durchführen und beachten müssen, das hierfür erforderliche Verständnis gewinnen. Selbstverständlich wird der Datenschutzbeauftragte diese Schulungen nicht alle selbst durchführen können. Vielmehr hat er die erforderlichen internen und externen Maßnahmen zu planen und zu realisieren.

Sicherheitsratschläge bei Personalauswahl?

Der Entwurf des Bundes-Datenschutzgesetzes sieht eine beratende Mitwirkung des Datenschutzbeauftragten bei der Auswahl des in der Datenverarbeitung beschäftigten Personals vor. Sicherlich wäre es unzweckmäßig, durch den Datenschutzbeauftragten Kompetenzen von Personal- und Fachabteilungen bei Personalentscheidungen einschränken zu lassen. Seine Aufgabe wird es eher sein, bei der Erstellung von Auswahlrichtlinien mitzuwirken und hierbei besonderes Gewicht auf die Vermeidung eines Sicherheitsrisikos durch neue Mitarbeiter zu legen. Besondere Bedeutung wird dieser beratenden Funktion sicher nicht zukommen.

Zusammenarbeit mit Betriebsrat nötig

Nach seiner Aufgabenstellung nimmt der Datenschutzbeauftragte eine ähnliche Position wie der Sicherheitsbeauftragte, oder der Betriebsarzt ein. Alle sind weisungsgebundene Arbeitnehmer und müssen andererseits gleichzeitig gegenüber dem Arbeitgeber wesentliche Arbeitnehmer- oder Drittinteressen wahrnehmen. Eine enge Zusammenarbeit mit dem Betriebsrat, die für den Sicherheitsbeauftragten und Betriebsarzt gesetzlich vorgeschrieben ist, ergibt sich daher auch für Datenschutzbeauftragte an sich von selbst.

Eine Stabsstelle

Auf Grund der besonderen Stellung des Datenschutzbeauftragten bietet sich seine organisatorische Einordnung in den Stab des Unternehmens an. Gliedert sich der Vorstandsbereich in mehrere Positionen, so kann je nach der Bedeutung der Datenverarbeitung für das Unternehmen eine direkte Zuordnung zu dem Vorstandsvorsitzer oder zu einem Vorstandsbereich (Organisation, Recht etc.) in Betracht gezogen werden. Nicht übersehen werden darf, daß der Datenschutz auch bei Übertragung weitgehender Kompetenzen an den Datenschutzbeauftragten letztlich nicht aus der Verantwortung der Unternehmensleitung nach innen und außen herausgenommen wird. Dem Datenschutzbeauftragten werden seine Befugnisse und Vollmachten, auch soweit sie gesetzlich vorgeschrieben sind, von der Unternehmensleitung übertragen, deren Kontrolle er wie jeder andere Mitarbeiter untersteht.

Andererseits kann der Datenschutzbeauftragte nur in einer mit weitgehenden Rechten und, einer größtmöglichen Unabhängigkeit versehenen Position seiner schwierigen Mittlerrolle zwischen Datenschutzinteressen der Betroffenen, und dem Datenverarbeitungsbedarf des Unternehmens gerecht werden.

Neben dem Datenschutzbeauftragten wird vielfach ein Datenschutzausschuß stehen der als internes Koordinierungsgremium, aus Vertretern der wesentlich betroffenen Bereiche des Unternehmens zusammengesetzt ist und mit dem Datenschutzbeauftragten insbesondere bei Grundsatzentscheidungen zusammenwirkt.

Oft nebenamtlich

Da der Beruf des Datenschutzbeauftragten bisher wenig ausgeübt wurde, werden Kandidaten mit theoretischen Kenntnissen und gleichzeitiger praktischer Erfahrung auf einschlägigem Gebiet, wohl kaum zu finden sein. Der zu ernennende Datenschutzbeauftragte wird daher in der Regel zusätzlich geschult werden müssen. Oft wird es sich anbieten, die Stelle intern zu besetzen, da so der Datenschutzbeauftragte wenigstens von Beginn an mit den Problemen des Betriebes vertraut ist. Es wird zudem auch nicht immer möglich sein, daß der Datenschutzbeauftragte seine Funktion hauptamtlich ausübt. Ein bereits mit ähnlichen Aufgaben beschäftigter Mitarbeiter, z. B. ein Angehöriger des Stabes, könnte daher diese zusätzliche Aufgabe übertragen erhalten - das muß nicht zwangsläufig ein Akademiker sein.

In größeren datenverarbeitenden Betrieben wird die Position entsprechend den vielseitigen Anforderungen und der Verantwortung jedoch hauptamtlich mit einem Akademiker besetzt werden, wobei z. B. ein Studium der Informatik oder Betriebswirtschaft als Ausgangsausbildung in Betracht kommen.

Keine Erfolgserlebnisse

Der Datenschutzbeauftragte muß selbstverständlich DV-techniche Kenntnisse haben, um die Sicherungsprobleme auf dem Gebiet von Hard- und Software beherrschen zu können. Daneben muß er gleichrangig die

Fragen der Organisation eines Sicherungssystems bewältigen können. Hinzukommen müssen juristische Kenntnisse, um die einschlägigen Rechtsvorschriften erfüllen zu können. Schließlich muß er Verhandlungsgeschick und Stehvermögen haben, um der exponierten Rolle im Unternehmen gerecht zu werden. Meßbare, ins Auge fallende Erfolge wird er nicht vorweisen können. Sein Erfolg Wird eben darin bestehen, daß keine Daten verloren, zerstört oder mißbraucht werden. Ob daher persönliche Befriedigung in der Position des Datenschutzbeauftragten nur sehr schwer zu finden sein wird, hängt wohl auch davon ab, welches Verständnis Problemen des Datenschutzes allgemein in der Zukunft entgegengebracht werden wird.

Assessor Peter Gola ist Mitarbeiter der Gesellschaft für Mathematik und Datenverarbeitung GmbH (GMD) in St. Augustin.