Die von den Bonner Koalitionsparteien beratenen Änderungen zum BDSG sind bislang kaum in der Öffentlichkeit bekannt. Grund: In der ersten Dezemberwoche berät die CDU/CSU- Fraktion darüber, ob sie das von den Datenschutzexperten der CDU mit der FDP abgestimmte Paket auf den Weg geben soll.
Eine gewöhnlich gut informierte Quelle in Bonn umreißt die Schwerpunkte der Koalitionsnovelle: Das BDSG soll Auffanggesetz bleiben, eine stärkere Differenzierung zwischen öffentlichem und privatem Teil ist vorgesehen, der Dateibezug bleibt, es fehlt eine Regelung für die Datenerhebung, eine verschuldensunabhängige Haftung wird verankert, für Forschung und Medien sind Sonderregelungen vorgesehen, der betriebliche Datenschutzbeauftragte erhält einen Kündigungsschutz in Anlehnung an ° 626 BGB, die "Verwendung von Daten" wird als neuer Tatbestand geregelt, die Aufsichtsbehörden erhalten im privatrechtlichen Teil stärkere Kontrollbefugnisse und Berichtspflichten - und es wird einen eigenen Paragraphen zur Zulässigkeit von Online-Abrufverfahren geben.
Bedenklicher Ansatz von der Systematik her
An dieser Stelle ist ein großes Fragezeichen angebracht. Denn gleichgültig, welche Formulierung letzten Endes ins BDSG aufgenommen wird (verschiedene Vorschläge sind aus den Diskussionen der Vergangenheit bekannt), der Versuch, ein bestimmtes DV-Verfahren, die Anwendung einer ganz bestimmten Zugriffstechnik in den Zulässigkeitsvorschriften des BDSG regeln zu wollen, ist nicht nur von der Systematik her bedenklich. Was vielleicht noch stärker ins Gewicht fällt, ist der Umstand, daß man hier Gefahren, die man in der Anwendung einer ganz bestimmten Zugriffstechnik sieht, nicht über die Vorschriften zur Datensicherung einzudämmen versucht, sondern am ° 6 vorbei separat regeln möchte.
Vor einem solchen Ansatz muß in aller Dringlichkeit gewarnt werden. Eine Vorschrift, die eine ganz bestimmte Technik in ihrer Anwendung regeln will, muß zwangsläufig als Schablone wirken, die nicht in allen Fällen passen wird. Berücksichtigt man den Hintergrund, vor dem die Zulässigkeitsregeln für Online-Systeme entstanden sind - nämlich Abfragesysteme der Polizei und anderer Einrichtungen im Sicherheitsbereich - so ist zu erwarten, daß für weniger empfindliche Online-Systeme unzutreffenderweise überzogene Anforderungen gestellt, Online-Systeme daher tendenziell eher verhindert werden.
Die heute bekannte Formulierung des ° 6 BDSG, der sich mit den technischen Maßnahmen zur Datensicherung befaßt, kennt eine Bekräftigung des Verhältnismäßigkeitsgrundsatzes. Er relativiert die Anforderungen der Anlage zu ° 6. Hier müßten sich auch jene Sicherheitsmaßnahmen einreihen, die beim sicheren Betrieb von Online-Systemen zu fordern sind, und zwar im Hinblick auf die jeweils abrufbaren Daten, die möglichen Benutzer (also auch die denkbaren "unbefugten" Benutzer) und die systemspezifischen Sicherheitsmaßnahmen. Auf diese Weise ließen sich alle Online-Verfahren beurteilen, von "Zevis" über "Nadis" bis hin zu Platzbuchungssystemen.
Natürlich ist auch Btx betroffen, und auch Mailbox-Systeme fallen unter den Online-Paragraphen. Und der Kreis der Systeme ist weitgespannt: Es geht nicht allein um Systeme, bei denen Daten über natürliche Personen abrufbar sind; ebenso vom BDSG erfaßt werden Systeme, die beliebige Daten verarbeiten (wie Btx), unter denen sich aber auch personenbezogene, also gesetzlich geschützte Daten befinden, und wenn es nur um die Absender- und Benutzerangaben geht. Der Benutzer, der durch die Benutzung im System seine Spuren hinterläßt, macht die Anwendung datenschutzrelevant.
Zweifel sind angebracht, ob diese Auswirkungen in Bonn gesehen wurden. Den Abgeordneten des Deutschen Bundestages kann nur ans Herz gelegt werden, sich mit dieser Problematik noch eingehend zu befassen - und eine "Lex Online" zu vermeiden.
Siegfried Martial ist DV-Fachberater.