Bussgelder fuer den verantwortlichen Manager Mittelstand von Bestimmungen des BDSG haeufig ueberfordert

13.05.1994

MUENCHEN (CW) - Datenschutzbeauftragte in mittelstaendischen Unternehmen sind haeufig voellig ueberfordert und den Experten hilflos ausgeliefert. Outsourcing kann die Probleme loesen helfen.

Die Vorschriften des Bundesdatenschutzgesetzes (BDSG) ueber die erforderliche Qualifikation und die Zuverlaessigkeit des unternehmensinternen Datenschutzbeauftragten lassen sich von den meisten Unternehmen mit eigenen Mitarbeitern kaum abdecken.

90 Prozent der mittelstaendischen Unternehmen unterliegen inzwischen der Bestimmung des Bundesdatenschutzgesetzes (BDSG Paragraf 36), nach der sie "einen Beauftragten fuer den Datenschutz schriftlich zu bestellen" haben. Denn in fast jedem Unternehmen werden heute "personenbezogene Daten automatisiert verarbeitet und damit in der Regel mindestens fuenf Arbeitnehmer staendig beschaeftigt".

Personenbezogene Daten nicht immer "sensibel"

Bei personenbezogenen Daten im Sinne des Gesetzes muss es sich keinesfalls um nach allgemeinem Verstaendnis "sensible Daten" wie Abrechnungen oder Gesundheitsinformationen handeln. Bereits die normale Kunden- und Interessentendatei faellt unter diese Definition, sofern sie die Anschriften von Einzelpersonen (nicht Firmen) enthaelt.

Inzwischen hat sich herumgesprochen, dass die Gerichte bei Verstoessen gegen das BDSG die gesetzlich moeglichen Bussgelder (bis zu 50 000 Mark) nicht selten voll ausschoepfen. Die verantwortlichen Unternehmer und Manager sind daher schon aus Eigeninteresse an einer ordnungsgemaessen Bestellung des Datenschutzbeauftragten interessiert, denn die Bussgelder werden nicht gegen das Unternehmen, sondern gegen den verantwortlichen Manager persoenlich verhaengt!

Die Auswahl gestaltet sich in der Praxis jedoch oft ausgesprochen schwierig. Neben der persoenlichen Zuverlaessigkeit fordert das Gesetz naemlich ausdruecklich die "erforderliche Sachkunde". Diese hat die Rechtsprechung inzwischen so praezisiert, dass der Datenschutzbeauftragte Kenntnisse auf folgenden Fachgebieten aufweisen muss: Betriebssystem, Datenbanken, mehrere Programmiersprachen, Datenkommunikation etc. Solches Wissen haben ausschliesslich Mitarbeiter des DV-Bereichs. In kleineren Unternehmen gibt es in der Regel ueberhaupt nur eine einzige Person, die ueber derartiges Know-how verfuegt.

Da die Aufgabe des Datenschutzbeauftragten aber unter anderem darin besteht, die DV-Fachleute im Hinblick auf die Einhaltung der rechtlichen Vorschriften zu kontrollieren, hiesse die Bestellung eines betriebsinternen DV-Experten geradezu, den Bock zum Gaertner zu machen. Daher wird dies durch die Interpretation des Begriffs der "Zuverlaessigkeit" in Paragraf 36, Absatz 2, des BDSG ausgeschlossen. Die einhellige Auffassung hierzu besagt, dass Zuverlaessigkeit nicht nur eine Frage des Charakters im Sinne der persoenlichen Integritaet ist, sondern auch voraussetzt, dass der Datenschutzbeauftragte ein Taetigkeitsfeld im Unternehmen hat, das keine "eingebauten" Konflikte provoziert. Da aber der Datenschutzbeauftragte neben anderen Aufgaben zum Beispiel die "ordnungsgemaesse Anwendung der Datenverarbeitungsprogramme" zu ueberwachen hat, sind Mitarbeiter des DV-Bereichs von einer Berufung regelmaessig auszuschliessen.

Dies fuehrt haeufig zu der absurden Situation, dass alle diejenigen Mitarbeiter, die ueber die erforderliche Fachkompetenz verfuegen, nicht fuer eine Bestellung in Frage kommen und deshalb Mitarbeiter als Datenschutzbeauftragte bestellt werden, die keinerlei fachliche Moeglichkeit haben, die Kontrollfunktionen tatsaechlich auszufuehren. Welcher Jurist kennt zum Beispiel die Manipulationsmoeglichkeiten von Benutzerprofilen und Berechtigungslisten auf einer AS/400?

Nur Grossbetriebe koennen es sich leisten, eigenstaendige Revisionsabteilungen zu unterhalten. Fuer kleine und mittlere Unternehmen ist haeufig die Bestellung eines externen Datenschutzbeauftragten die einzige - auch oekonomisch vertretbare - Loesung.

Anlaufstelle kann in diesem Fall die Gesellschaft fuer Datenschutz und Datensicherung in Bonn sein, in der auch externe Datenschutzbeauftragte organisiert sind. Sie uebernehmen haeufig zusaetzlich die Revision und fuehren ueber diesen Weg auch in mittelstaendische und kleine Unternehmen schlankere Strukturen ein.