computerwoche.de

Archiv

BDSG-Referenten-Entwurf läßt für betriebliche Datenschutzbeauftrage (BDSB) noch Spielraum

BDSB lehnen eine nur nachdiendende Kontrolle ab

20.11.1987

KÖLN (bi) Der Novellierungsentwurf für das neue Bundesdatenschutzgesetz (BDSG) liegt seit einer Woche, unterschrieben von Bundesinnenminister Friedrich Zimmermann, vor. Noch in dieser Legislaturperiode sei mit einer Verabschiedung durch das Parlament zu rechnen, erklärte jetzt auf der 11. Dafta (Datenschutzfachtagung) in Köln Heribert Blens, Sprecher der CDU/ CSU-Fraktion im Deutschen Bundestag für Fragen des BDSG.

Für eine Trennung von öffentlichem und privatem Datenschutz hatte sich gerade die Gesellschaft für Datenschutz und Datensicherung, GDD, Veranstalter der jährlichen Datenschutzfachtagungen in Köln, seit einigen Jahren starkgemacht. Die Dafta-Teilnehmer wurden in dieser Hinsicht jedoch enttäuscht: "Öffentlicher und privater Datenschutz sollten im künftigen Gesetz noch beieinander bleiben", erklärte Joachim Schweinoch, der sich im übrigen für die Beibehaltung von Generalklauseln im BDSG aussprach, und zwar als Richtschnur für bereichsspezifische Regelungen, ferner eine bessere Lesbarkeit des Gesetzes für den fachlich Kundigen forderte beziehungsweise verbindliche Interpretationen der Generalklauseln für die Bürger. Der bayerische Ministeriale thematisierte darüber hinaus eine "Verbesserung der Rechtsstellung des betrieblichen Datenschutzbeauftragten durch das Gesetz".

Wie eine anschließende Podiumsdiskussion mit reger Beteiligung des Plenums ergab, dürften an den Novellierungsentwurf, auf seinem Weg durch Ministerien, Ausschüsse und Parlament gerade im Hinblick auf die verbesserte Rechtsstellung des betrieblichen Datenschutzbeauftragten noch einige Anforderungen herangetragen werden.

Der hamburgische Datenschutzbeauftragte Claus Henning Schapper monierte - allerdings unabhängig vom BDSG-Entwurf - Mitbestimmungsrechte der Betriebs- und Personalräte speziell bei der Personaldatenverarbeitung. Aber auch der betriebliche Datenschutzbeauftragte sollte bei der Einführung neuer Methoden und Verfahren rechtzeitig informiert beziehungsweise in die Entscheidungsfindung miteinbezogen werden. Ein Zusammenwirken von Geschäftsleitung, Betriebsrat und Datenschutzbeauftragtem sei angesichts zahlreicher Risiken geboten. Deshalb müsse die unabhängige Stellung des BDSB gestärkt werden. Als Beispiel führte Schapper unter anderem große Datenbanksysteme an, wie sie im Zuge der Integration mehr und mehr in den Unternehmen üblich würden. Unter dem Stichwort "Benutzerprofile" sprach er sich, gerade was aktive Data-Dictionaries anbelangt, für eine enge Zusammenarbeit mit der Geschäftsleitung aus. Im Verlauf der Diskussion blieb Schapper, der das Einführungsreferat hielt, nicht allein mit einer weiteren Forderung nach spezialisierten Mitarbeitern für den betrieblichen BDSB.

BDSB darf Geschäftsleitung nicht angehören

Schappers Modellvorstellung eines Datenschützers in der privaten Wirtschaft sieht eine enge Anbindung an die Geschäftsleitung - wie sie häufig praktiziert wird - nicht vor. Schapper: "Der BDSB darf nicht der Geschäftsleitung angehören; hinsichtlich personenbezogener Daten decken sich die Interessen von Betriebsrat und Datenschutzbeauftragtem". Neben den fachlich qualifizierten Mitarbeitern billigt er dem betrieblichen Datenschützer auch Fortbildungsmöglichkeiten gerade in rechtlichen Fragen zu. Es herrsche oft ein starkes Ungleichgewicht zwischen technischer und rechtlicher Sachkunde, ferner müsse er auf externe Beratungsleistung zurückgreifen dürfen.

Die Tätigkeit des BDSB solle jedoch "nur" überwachend und beratend bleiben, diese Generalklausel des Gesetzes müsse nicht geändert werden. Er regte einen Tätigkeitsbericht des BDSB an Geschäftsleitung und Betriebsrat an, der im Zweijahresrhythmus zu erfolgen habe.

Benutzerservice als Partner der BDSG

Kopfzerbrechen bereitet offenbar nach wie vor die IDV. Der BDSB könne einfach nicht jede auf einem PC erstellte Datei im Griff haben. Wörtlich aus dem Plenum: "Ich fühle mich nicht in der Lage, jeder IDV-Datei nach zulaufen". Joachim Krebs, bestellter (externer) Datenschutzbeauftragter der Allianz AG, sprach auch gerade in diesem Zusammenhang von der "Aufgabe eines Managers" und von "strukturiertem Datenschutz". IDV müsse einem Benutzerservice unterstehen, der Partner des BDSB sei. Das leidige Problem mit den Disketten sei durch gezielte Vorschriften und Kontrollen lösbar. Krebs betonte die Rolle der Persönlichkeit des betrieblichen Datenschützers vor dessen Unabhängigkeit. Krebs: "Wir brauchen keinen BDSB, der Angst hat, über die Schwelle des Vorstandes zu gehen, sondern einen, der gesetzesgetreu agiert". Krebs selbst ist unmittelbar vom Vorstand beauftragt.

Vorgabe von Sicherheitsnormen regte Wolfgang Goldenblohm, BDSB bei der Audi AG, an. Nach dem Vorbild des National Security Computer Center in den USA könnte eine derartige Institution dem BDSB von morgen eine wertvolle Hilfe bei seiner eigenverantwortlichen Manager-Aufgabe sein. Personenbezogene Daten sieht er als eine Untermenge in einem integrierten Sicherheitskonzept. Goldenblohm betonte den hohen Stellenwert der Datensicherung bei Audi. Er wußte für sein Unternehmen von keinem "nennenswerten Mißbrauch" zu berichten oder gar einem Anstieg dessen. Im übrigen sei der Anteil der BDSG-relevanten Dateien von 20 auf 8 Prozent zurückgegangen. Goldenblohm, der ebenfalls direkt an der Vorstand berichtet, erntete mit seinen Ausführungen kritische Anmerkungen. An seine "heile Welt" mochte das Plenum nicht so recht glauben.

Auf den Referenten-Entwurf des BDSG zurück führte Heribert Blens, Sachverständiger der CDU/CSU-Fraktion. Klare Aussage: "Der Entwurf sieht die Beratungsfunktion des BDSB bei der Einführung neuer Techniken nicht vor". Grund: Nach der Einführung konnte der Datenschützer, da er an der Entscheidungsfindung mitgewirkt habe, "befangen" sein. Auch sehe CDU/CSU den BDSB in der Leitungsfunktion des Unternehmens und nicht in einer dem Betriebsrat vergleichbaren Position.

Noch jedoch ist das letzte Wort zum BDSG in mancherlei Hinsicht nicht gesprochen. Joachim Schweinoch ermutigte die zirka 400 Teilnehmer der Dafta - mehrheitlich betriebliche Datenschutzbeauftragte - "ihre Stunde zu nutzen" und für ihre eigene Position noch Verbesserungen herauszuholen. So stehe beispielsweise nicht im Entwurf, daß der BDSB mit ausreichenden personellen und Sachmitteln auszustatten sei.

Rechtsposition kann noch verbessert werden

Begrüßen dürfte jeder BDSB, daß seine Bestellung nur aus wichtigem Grund (Paragraph 626 BGB = fristlose Kündigung) widerrufen werden kann. Negative Seiten konnte Schweinoch an der "Verschwiegenheitspflicht" entdecken. Der BDSB ist (laut Entwurf) zur Verschwiegenheit über die Identität des Betroffenen (zum Beispiel gegenüber der Firmenleitung) verpflichtet. "Noch nicht verfestigt" sei, ob die Aufsichtsbehörde künftig verlangen kann, daß der BDSB abberufen wird, wenn er nicht die erforderliche Fachkunde und Zuverlässigkeit besitzt.

Joachim Krebs von der Allianz bestätigte einen "Bedarf des BDSB an der Beteiligung an der Planung"; hierfür müsse eine Rechtsgrundlage geschaffen werden.

Die Funktion der nachhinkenden Kontrolle mochten etliche BDSBs nicht für sich akzeptierten. In Hinblick auf die zu führende "zentrale Übersicht" sei festzuschreiben, daß, falls sie denn überhaupt noch im Gesetz enthalten sei, "aus der Hol-Schuld des BDSB wenigstens eine Bring-Shuld gemacht werde".

Abgesehen von der Möglichkeit der Mitwirkung an Planung beziehungsweise bei Entscheidungen hinsichtlich der künftigen Informationsverarbeitung im Unternehmen durch den betrieblichen Datenschutzbeauftragten, sind nach Aussage von Joachim Schweinoch auch die Themen PC und ISDN noch nicht abschließend diskutiert ,"auch hier ist das letzte Wort noch nicht gesprochen".