Neun Thesen zum BDSG:

1. Das Bundesdatenschutz-Gesetz (BDSG) ist von Anfang an in doppeltem Sinn als eine "vorläufige" Reaktion des Gesetzgebers auf die Anforderungen des Datenschutzes verstanden worden.

2. Datenschutz ist aus der Perspektive des Gesetzgebers ein ständiger Lernprozeß, der deshalb zu einer permanenten Revision der vorhandenen Bestimmungen zwingt. Sie führt aber vor allem zu einer fortschreitenden Ablösung des BDSG durch eine bereichsspezifische Datenschutzregelung.

3. Der Gesetzgeber ist sich der Notwendigkeit bereichsspezifischer Regelungen durchaus bewußt. Personalausweisgesetz, Melderecht und die Korrektur des Sozialgesetzbuches sind Beispiele für die Bereitschaft, sowohl die Voraussetzungen als auch die Konsequenzen des Datenschutzes am konkreten Konflikt zu messen.

4. Die mittlerweile verabschiedeten bereichsspezifischen Regelungen behandeln nur einen Teil jener Erfahrungen, die unterstreichen, wie wenig es angeht, sich weiterhin mit den Regeln des BDSG zufriedenzugeben. Konzerne mögen zu Recht von der BDSG-Regelung übergangen worden sein. Die gesetzliche Entscheidung wird aber dann unhaltbar, wenn sie wie etwa beim Konzernbetriebsrat zu Ergebnissen führt, die in offenem Widerspruch zu dem vom Gesetzgeber gewollten und garantierten Informationszugang der Arbeitnehmervertretung stehen und damit durch nichts zu rechtfertigende Unterscheidungen zwischen Betriebs- und Gesamtbetriebsrat einerseits und Konzernbetriebsrat andererseits schaffen.

5. Der Übergang zu einer dezidiert bereichsspezifischen Regelung leitet nicht die Chaotisierung des Datenschutzes ein. Parallelen zum Nebenstrafrecht etwa, daß zunächst in weit über hundert Gesetzen geregelt wurde, um dann im Einführungsgesetz zum StGB wieder zusammengefaßt zu werden sind fehl am Platz. Gemeint ist nicht mehr und nicht weniger als die Reduktion des BDSG auf einige, generell notwendige allgemeine Bestimmungen und seine Ergänzung durch eine Reihe von Regelungen, die sowohl von der Zahl als auch vom Umfang her überschaubar sein müssen.

6. Die bereichsspezifische Regelung muß nicht notwendigerweise auch eine gesetzliche Regelung sein. Welcher Normierungsweg beschritten werden muß, hängt vielmehr ausschließlich vom konkreten Regelungsgegenstand ab. Konsequenterweise hat sich deshalb der Gesetzgeber für eine Intervention im Melde- und Sozialbereich entschlossen. Ebenso wichtig ist es, wenn beispielsweise im Sicherheitsziel zunächst einmal Verwaltungsvorschriften der Vorzug gegeben wird wie sich an der KPS und den Datei-Richtlinien für das BKA zeigt, vorausgesetzt, die im Interesse eines wirksamen Schutzes des Betroffenen unerläßliche Transparenz der Normierung ist gewahrt.

7. Weitere Beispiele für die Notwendigkeit einer bereichsspezifischen Regelung finden sich gleichermaßen im öffentlichen und im privaten Bereich. Für die bereichsspezifische Regelung gilt insofern genau wie für das BDSG: Datenschutzfreie Gebiete gibt es nicht. Die Datenschutzregelungen mögen verschieden ausfallen, sie bleiben dennoch überall notwendig.

8. Fragt man nach weiteren Beispielen, so bieten sich folgende an:

- die längst fällige Ablösung des Medienprivilegs durch eine besondere Datenschutzregelung im

Pressebereich. ° 1 Abs. 3 nimmt die Medien nicht vom Datenschutz aus, sondern verschiebt nur die notwendige Regelung. Sie weiter hinauszuzögern geht nicht an. Es darf nicht sein, daß das geltende Recht sich ausdrücklich etwa für einen Anspruch auf Gegendarstellung ausspricht, die Konsequenzen eben dieses Anspruchs für den Verarbeitungsprozeß aber offenbleiben, seine Wirksamkeit sich aber damit als letztlich überaus fragwürdig erweist. An Vorarbeiten für eine bereichsspezifische Regelung fehlt es nicht. Nur gilt es die Verbindung von Datenschutz und Presserechtsrahmengesetz zu lösen.

- die Ergänzung des BDSG durch eine eigens auf die Probleme der Archivierung zugeschnittenen Regelung. Datenschutz heißt nicht Übergang zur Geschichtslosigkeit Allgemeine Hinweise auf historische und wissenschaftliche

Interessen reichen aber nicht aus, um die im Interesse der Betroffenen notwendigen Schutzvorkehrungen zu durchbrechen.

- die Regelung der Verarbeitung personenbezogener Daten im Rahmen wissenschaftlicher Forschung. Wiederum gilt es einen Weg zu finden, der den Schutz des Betroffenen sicherstellt und scharf zwischen der wissenschaftlichen und administrativen Nutzung der Daten unterscheidet.

- ein gezielter Schutz der Arbeitnehmerdaten. Er bedingt eine Revision der dem Arbeitnehmen selbst zustehenden Rechte im Hinblick auf die Erhebung, Speicherung und Übermittlung seiner Daten. Er fordert auch eine Stärkung der Rechte des Betriebsrates, sei es im Hinblick auf die Einrichtung von Personalinformationssystemen, sei es im Hinblick auf die Konkretisierung der internen, vom BDSG bereits vorgesehenen Kontrollvorkehrungen, wie etwa der Bestellung des Datenschutzbeauftragten.

-spezielle Bestimmungen für die Verarbeitung personenbezongene: Daten im Bereich der Kreditwirtschaft. Die Erfahrungen mit den allgemein Bestimmungen vor allem des vierten Abschnittes anzufangen ist. Solange der Gesetzgeber auf den generellen Normen beharrt, entstehen zwangsläufig Konflikte.

-besondere Vorschriften für die Verarbeitung medizinischer Daten. Als Regelungsansatz bieten sich die Krankenhausgesetze der Länder an (° 14 Hessisches Krankenhaus Gesetz). Sie müssen aber weiter präzisiert und ergänzt werden.

9. Beispiele sind nicht mehr als Anhaltspunkt für die weitere Diskussion. Sie machen auf neuralgische Punkte des Datenschutze aufmerksam, ohne den Anspruch zu erheben, die Gegenstände notwendiger bereichsspezifischer Regelungen erschöpfend aufzuzählen.

Dieser Gastkommentar ist die gekürzte Fassung eines Plenumsvortrages, der kürzlich auf der 4. Datenschutz-Fachtagung (Dafta) der Gesellschaft für Datenschutz und Datensicherung (GDD) in Köln gehalten wurde.