computerwoche.de

Archiv

CW exklusiv: Spiros Simitis zu aktuellen BDSG-Fragen

18.11.1977

Mit Professor Spiros Simitis sprach Dr. Gerhard Maurer

- Die Würfel sind gefallen. Professor Spiros Simitis wird nicht Bundesdatenschutzbeauftragter. Manch einer wird aufatmen, viele bedauern diese Entwicklung. Ihre Absage, so haben Sie ausgeführt, ist "absolut und endgültig". Wie kam es zu diesem kompromißlosen "Nein"?

Die Antwort auf diese Frage ist recht einfach, sie ist gleichsam schwarz auf weiß nachzulesen im Haushaltsplan des Bundes für das Jahr 1978. In diesem Haushaltsplan sind für den Bundesbeauftragten für den Datenschutz acht Stellen vorgesehen. Das bedarf wohl weiterer Erläuterungen.

Das heißt, zu den für 1977 für dieses Amt bewilligten 12 Stellen sollen 1978 nur acht weitere dazukommen. Das Bundesinnenministerium hatte aber in seinen ursprünglichen Planungen für dieses Amt als endgültige Ausbaustufe 36 Stellen vorgesehen. Nach den Gesprächen, die ich mit Herrn Maihofer hatte, hatten wir uns auf 32 Stellen geeinigt, wobei diese 32 Stellen etwas anders aufgeteilt waren als in dem Plan, der den ersten Gesprächen zugrunde lag. Das Bundesinnenministerium revidierte seine Vorstellungen für das Jahr 1978, statt der anfänglich beantragten 15 zusätzlichen Stellen sollten weitere 22 Stellen geschaffen werden. Nunmehr hat das Kabinett ungefähr die Hälfte der Personalausstattung zugebilligt die der Bundesinnenminister für absolut erforderlich angesehen hat.

- Sie haben ja nun Verwaltungserfahrung als Hessischer Datenschutzbeauftragter. Wie ist denn diese Behörde personell ausgestattet?

Ein Vergleich mit dem Bund ist überhaupt nicht möglich. Wir haben sechs Mitarbeiter im Augenblick und hoffen daß es bald sieben sein werden. Jedoch ist das hessische Datenschutzgesetz doppelt eingeschränkt gegenüber dem Bundesdatenschutzgesetz. Es ist zunächst einmal beschränkt auf den Bereich der Landesverwaltung in Hessen. Des weiteren beschäftigt sich das hessische Gesetz - bislang jedenfalls - ausschließlich mit der elektronischen Datenverarbeitung, wohingegen das BDSG die manuelle Datenverarbeitung einbezieht. Allein diese beiden Unterschiede machen deutlich, daß eine Relation von sieben Mitarbeitern im Amt des Datenschutzbeauftragten in Hessen und nimmt man die 77er Stellen zu den 78er Stellen hinzu - zwanzig auf der Bundesebene keine akzeptable Relation ist. So ist es nicht möglich, die Aufgaben so zu erfüllen, wie es das Gesetz vorsieht.

- Sie waren also nicht bereit, unter diesen Konditionen in Bonn Verantwortung zu übernehmen?

Ganz richtig. Mir erscheint es unter diesen Bedingungen unverantwortlich, eine solche Aufgabe zu übernehmen. Man kann nicht einerseits, wie ich es getan habe, mit aller Energie an der Entstehung dieses Gesetzes mitgewirkt und dabei immer wieder wirksamen Datenschutz gefordert haben und dann, wenn es um seine Verwirklichung geht, mit Mitteln arbeiten, die von vornherein ausschließen, daß der Datenschutz, den wir dem Bürger versprochen haben, erreicht werden kann.

- Mißachtet die Regierung das Gesetz, das das Parlament machte?

Ich würde das nicht so formulieren. Aber die Entscheidung darüber, wie man den Datenschutz realisieren will, ist eine politische Entscheidung großer Tragweite. Da gelten nicht die üblichen Maßstäbe. Anders ausgedrückt: Hier geht es nicht darum, daß eine bestehende Behörde weitere Stellen fordert und man ihr, ohne darüber weiter nachzudenken, nur die Hälfte, wenn überhaupt, der Forderung gibt. Hier geht es vielmehr darum, daß eine Behörde zum erstenmal eingerichtet wird. Mir scheint, es hat an der Einsicht in die politische Tragweite dieser Entscheidung über die Erstausstattung für das Amt des Bundesdatenschutzbeauftragten gefehlt.

- Wer hat letztlich die Entscheidung getroffen?

Ich darf noch einmal wiederholen. Nach den eingehenden Gesprächen, die ich mit dem Bundesinnenminister geführt hatte waren wir uns über den Ausbau der Behörde völlig einig. Die abweichende Entscheidung ist dann im Kabinett getroffen worden.

- Ist diese Entscheidung endgültig?

Nein. Wie Sie ja wissen, muß der Haushaltsausschuß und danach auch das Parlament darüber beraten, wie die endgültige Ausgestaltung des Haushalts aussieht. Und im Rahmen dieser Beratungen läßt sich sehr wohl vorstellen, daß die notwendigen Korrekturen vorgenommen werden.

- Wenn das Parlament die Regierung zu Korrekturen zwingt, könnte es dann nicht vielleicht doch noch einen Bundesdatenschutzbeauftragten Simitis geben?

Die Antwort darauf lautet ganz klar "Nein". Jetzt ist wirklich keine Zeit mehr für solches Abwarten und für entsprechende Verhandlungen. Jetzt bleibt der Regierung nur noch die Zeit für eine sofortige Entscheidung.

- Sie haben damit einen spektakulären Abgang von der Bonner Szene. Aber war dies auch der wirkliche Grund? Bekanntlich hat man Sie als Sicherheitsrisiko bezeichnet, weil zu den Mandanten ihres in Athen als Rechtsanwalt tätigen Bruders DDR-Firmen zählen. Des weiteren gab es einen Streit um die Höhe ihrer Bezüge.

Der eigentliche und entscheidende Grund meiner Absage ist der Stellenplan. Dabei handelt es sich um etwas, was meine Person nicht im mindesten berührt. Jeder, der an meiner Stelle verhandelt hätte, wäre mit der gleichen Frage konfrontiert gewesen und hätte, meine ich, im gleichen Sinne entscheiden müssen. Zu den beiden anderen von Ihnen erwähnten Themen nur dies ganz kurz: Soweit meine Hochschullehrerposition betroffen ist, halte ich es für einen schlicht lächerlichen Vorgang, sich darüber so lange aufzuhalten. Es ist selbstverständlich, daß für ein Amt so hoher Position - ich erinnere an Minister und Abgeordnete, ich erinnere aber auch an das Bundesverfassungsgerichtsgesetz - eine Kompatibilität mit der Hochschullehrerstellung hingenommen werden muß, ja sogar angestrebt werden sollte. Zum zweiten Punkt, zum angeblichen Sicherheitsrisiko, möchte ich bemerken, daß die Vorwürfe erstens haltlos sind, und daß sie zweitens darüber sehr zu denken geben, inwieweit solche Vorwürfe lanciert worden sind von Stellen, die keinerlei Interesse daran hatten, daß jemand, der wirklich unabhängig ist und der seine Aufgabe ernstnimmt, das Amt des Bundesdatenschutzbeauftragten übernimmt.

- Das ist ein massiver Vorwurf.

In der Tat, insoweit nämlich, als ich es mit dem Gedanken des Datenschutzes und dem Zweck des Gesetzes für unvereinbar halte, wenn derartige Überlegungen öffentlich zu einem Zeitpunkt angestellt werden, wo jemand sich noch nicht einmal bereit erklärt hat, ein bestimmtes Amt zu übernehmen.

- Der Staat hat ein schlechtes Beispiel geliefert. Auch er hätte, wie es das BDSG vorschreibt, bis zum 1. Juli 1977 seinen Datenschutzbeauftragten ernennen müssen. Der Termin ist weit überschritten, und keine Lösung ist in Sicht. Wird sich nun die Wirtschaft darauf berufen können, daß ja auch der Staat das Gesetz nicht ernstnimmt, und sich ähnliche Freiheiten nehmen können?

Für die Wirtschaft scheint mir ein anderer Gesichtspunkt sehr wichtig zu sein. Denn auch in einer anderen Beziehung hat der Staat nicht das getan, was er längst hätte tun müssen. Noch immer fehlt es an den im BDSG vorgesehenen staatlichen, von den Landesregierungen einzurichtenden Aufsichtsbehörden. Noch immer also fehlt es an der Instanz, die nicht nur kontrollieren, sondern auch beraten soll. Und ich meine, daß wenn zum 1. Januar 1978, zum Zeitpunkt also, zu dem das Gesetz in Kraft tritt, nicht Aufsichtsbehörden existieren, die diese beratende Funktion wahrnehmen, kann niemand - jedenfalls für eine gewisse Zeit - den betroffenen Unternehmen den Vorwurf machen, nicht die Vorrichtungen so getroffen zu haben, die das Gesetz verlangt.

- Was raten Sie Firmen, die guten Willens sind, das Datenschutzgesetz zu befolgen, aber in Zeitdruck kommen? Wenige Wochen bleiben für die Vielzahl der Aufgaben - Erstellen des Datei-Registers, Realisierung von Verfahren für Auskunft, Löschen und Sperren, Schulung der Mitarbeiter, vor allem die Überprüfung, ob das Arbeiten mit den bestehenden Datenbeständen und Anwendungen nach BDSG Rechtens ist und vieles mehr. Was raten Sie Firmen, die bemerken, daß all dies bis zum 1. 1. 1978 nicht zu schaffen sein wird?

Ich glaube, man sollte an zweierlei denken. Kommt es rechtzeitig - also spätestens bis zum 1. 1. 78 - noch zu den Aufsichtsbehörden, dann halte ich es für das Richtige, wenn diese Firmen die Aufsichtsbehörden direkt auf die Schwierigkeiten aufmerksam machen und mit ihnen gemeinsam einen Ausweg zu finden suchen. Kommt es nicht rechtzeitig zu den Aufsichtsbehörden, dann würde ich trotzdem mich ebenfalls an den Staat wenden, diesmal aber an die jeweils ansonsten zuständige Aufsichtsbehörde. Dort wäre zu unterbreiten, welche Schwierigkeiten bestehen, wo Hindernisse existieren. Auf diese Weise gäbe es eine Voraussetzung dafür, daß mit Hilfe der staatlichen Verwaltung ein Überbrückungszeitraum vereinbart wird, innerhalb dessen die Anwendung des Gesetzes sichergestellt werden kann.

- Wer sind die ansonsten zuständigen Behörden, mit denen man in Ermangelung von Aufsichtsbehörden diese Schwierigkeiten diskutieren sollte?

Das sind diejenigen Behörden, die gegenwärtig schon für die einzelnen Unternehmen zuständig sind. Das ist beispielsweise für Versicherungsgesellschaften die Versicherungsaufsicht, das ist für Banken die Kreditaufsicht, das ist für die weiteren Unternehmen die Gewerbeaufsicht.

- Drohen nun den Unternehmen, die bis zum 1. 1. 1978 das Gesetz nicht voll befolgen können, Strafen oder Bußgelder?

Gesetze sind vernünftig anzuwenden. Das heißt für mich im konkreten Fall: Auch wenn dem Wortlaut des Gesetzes nach die entsprechende Bestimmung am 1. Januar in Kraft tritt, muß in jedem einzelnen Fall geprüft werden, ob die Voraussetzungen dafür vorlagen, daß dem Unternehmen aus einem Verzug ein Vorwurf gemacht werden kann. Und ich wiederhole noch einmal: Wo es an der Aufsichtsbehörde fehlte, wo die Unklarheiten so evident sind, wo die Streitfragen sich gleichsam kumulieren, kann ein Vorwurf wohl nur in den seltensten Fällen erhoben werden. Die Frist vom 1. Januar 1978 ist insofern nur eine indikative Frist.

- Und was soll das bedeuten?

Das bedeutet nichts anderes, als daß wir die Frist von dem Augenblick an laufen lassen müssen, von dem an die Unternehmen die Chance haben, daß Unklarheiten beseitigt werden können. Das heißt für mich: Von dem Augenblick an, in dem Aufsichtsbehörden existieren und funktionieren und als Gesprächspartner zur Verfügung stehen, läßt sich darüber reden, inwieweit mit dem ° 42 - mit den Geldbußen also -ernstgemacht werden muß.

- Kann man Ihre Äußerungen so interpretieren, daß die Firmen der Wirtschaft wegen der Versäumnisse des Staates - insbesondere bei der Benennung der Aufsichtsbehörden - nunmehr über den 1. Januar 1978 hinaus mehr Zeit haben, die BDSG-Vorschriften zu realisieren?

Nein, so kann man das nicht interpretieren. Nehmen wir ein konkretes Beispiel: Das BDSG gibt dem Bürger eine Reihe von Rechten, beispielsweise das Recht auf Auskunft oder den Anspruch auf Berichtigung. Diese Rechte haben mit der Aufsichtsbehörde überhaupt nichts zu tun. Es bedarf doch nicht der Aufsichtsbehörde damit eine Firma den Bürger benachrichtigt, wenn sie erstmals Daten über ihn speichert. Da ändert sich überhaupt nichts. Was ich gemeint habe, ist folgendes: Die Sanktionen, die das Gesetz vorsieht und die vielleicht manche Firma befürchtet, denn schließlich und endlich sind

50 000 Mark Bußgeld eine erkleckliche Summe, diese Sanktionen vom 1. Januar 78 an zu verhängen, wäre schlicht widersinnig, weil der Staat keine Bußgelder verhängen kann und verhängen darf, wenn nicht zugleich den Firmen die Möglichkeit gegeben ist, von sich aus mit der im Gesetz vorgesehenen Aufsichtsbehörde die Gespräche zu führen, die sie führen müssen, um sich beraten zu lassen. Um diese Sanktionen ging es mir.

- Wie beurteilen Sie als Arbeitsrechtler, der Sie ja immer noch in erster Linie sind, die in einigen Firmen aufgetretenen Komplikationen bei der Zusammenarbeit des Datenschutzbeauftragten mit dem Betriebsrat, insbesondere die Mitbestimmungsforderungen der Gewerkschaften bei der Bestellung des Datenschutzbeauftragten?

Nach wie vor gibt es bedauerlicherweise Unklarheit über das Verhältnis des Betriebsverfassungsgesetzes zum Bundesdatenschutzgesetz. Nach dem Betriebsverfassungsgesetz ist es Aufgabe des Betriebsrates, auch in hohem Maße für den Schutz der persönlichen Integrität des Arbeitnehmers zu sorgen. Ich erinnere an das Mitbestimmungsrecht beim Personal-Fragebogen. Man darf nicht übersehen daß das Bundesdatenschutzgesetz die Bestellung des Datenschutzbeauftragten als eine ausschließliche Angelegenheit der Unternehmensleitung eines Unternehmens ansieht. Andererseits ist der Datenschutzbeauftragte in aller Regel Arbeitnehmer. Insofern sind bei seiner Einstellung die Mitbestimmungs-Vorschriften zu beachten, die bei jedem Arbeitnehmer in Betracht kommen. Darüber hinaus muß der Datenschutzbeauftragte, wenn es um Daten der Arbeitnehmer geht, seine Aufgabe in Kooperation mit dem Betriebsrat erfüllen. Erforderlich ist also, langsam zu Betriebsvereinbarungen zu gelangen, die diese Zusammenarbeit sicherstellen und die dann auch die Konflikte aus der Welt schaffen, die bei der Anwendung von zwei gleichzeitig gültigen Gesetzen zwangsläufig entstehen.

- Zunächst hieße dies, daß die Unternehmensleitung einen Leitenden Angestellten als Datenschutzbeauftragten oder auch einen externen Datenschutzbeauftragten ohne Mitwirkung des Betriebsrates bestellen kann. Dann wäre nur eine Information im nachhinein an den Betriebsrat erforderlich. Wenn aber ein nicht-leitender Mitarbeiter bestellt wird, etwa durch Neueinstellung oder durch Änderungskündigung, dann wäre diese Ernennung mitbestimmungspflichtig.

Das ist genau richtig. Um es konkret zu fassen: Anwendbar ist in diesem Fall der

° 99 des Betriebsverfassungsgesetzes. Dort ist vorgeschrieben, daß der Arbeitgeber verpflichtet ist, den Betriebsrat zu unterrichten über die Person desjenigen, den er einstellen will. Der Arbeitgeber hat ihn auch darüber zu unterrichten, warum es gerade dieser eine Kandidat sein soll. Der Betriebsrat muß sich seinerseits dazu äußern. Das Gesetz stellt es ihm frei, seine Zustimmung zu verweigern, bindet aber diese Entscheidung an ganz genau im Betriebsverfassungsgesetz aufgezählte Fälle. Es gibt also bekanntlich keine generelle Verweigerungsmöglichkeit für den Betriebsrat. Liegt aber einer dieser wenigen im Gesetz aufgezählten Fälle vor, dann ist die verweigerte Zustimmung des Betriebsrates ersetzbar durch eine Entscheidung des Arbeitsgerichts. Noch einmal aber: Dieses hat mit dem Datenschutzbeauftragten an sich nichts zu tun, das ist der normale Weg bei der Einstellung oder Versetzung eines Arbeitnehmers. Solange der Datenschutzbeauftragte Arbeitnehmer ist, wird er wie jeder andere Arbeitnehmer behandelt.

- Kann der Betriebsrat die Zustimmung verweigern mit der Begründung, der in Aussicht genommene Kandidat verfüge nicht über die erforderliche Fachkunde?

Nach Paragraph 99, Absatz 2, Ziffer 1 des Betriebsverfassungsgesetzes kann der Betriebsrat die Zustimmung dann verweigern, wenn die beabsichtigte personelle Maßnahme gegen ein Gesetz verstößt. Das Gesetz wäre im konkreten Fall das Bundesdatenschutzgesetz. Und noch konkreter: Im BDSG wird zu den Voraussetzungen für die Bestellung zum Datenschutzbeauftragten die Fachkunde gezählt. Diese ist aber ein gesetzliches Merkmal des BDSG und wäre zu prüfen. Meint der Betriebsrat. das BDSG wäre wegen mangelnder Fachkunde des in Aussicht genommenen Kandidaten verletzt, dann wird er wohl die Zustimmung verweigern.

- Dennoch wäre aber auch bereits die Vermutung, daß es Revisionskonflikte geben könnte - also der Verstoß gegen den Grundsatz, daß niemand sich selber kontrollieren

soll -, ein ausreichender Verweigerungsgrund?

Was Sie damit ansprechen, ist die zweite vom BDSG geforderte Voraussetzung für die Bestellung des Datenschutzbeauftragten, nämlich die Zuverlässigkeit. Ich würde dies so interpretieren, daß zu der geforderten Zuverlässigkeit unter allen Umständen auch die Vermeidung von Konflikten gehört, die den Datenschutzbeauftragten bei der Ausübung seiner Aufgabe belasten könnten, und zwar in einer Weise belasten könnten, daß es fragwürdig wird, ob er die Kontrolle wahrnehmen kann, die das Gesetz von ihm verlangt. Wenn also jemand gleichzeitig die EDV-Abteilung eines Unternehmens leitet und Datenschutzbeauftragter dieses Unternehmens sein soll, dann liegt wohl eine jener Inkompatibilitäten vor die, wie ich meine, die Zuverlässigkeit in Frage stellen. Wohlgemerkt, dies ist nur eines der möglichen Beispiele: Es kann in anderen Unternehmen andere Situationen geben, in denen aus der Tätigkeit, die der Datenschutzbeauftragte nebenher ausübt, sich ebenfalls Gegensätze zu seiner Kontrollaufgabe ergeben könnten. Deswegen wird man von Fall zu Fall prüfen müssen, ob Inkompatibilität vorliegt.

- Anzumerken wäre, daß diese Ihre Auffassung sehr umstritten ist.

Das weiß ich. Dennoch meine ich, daß die Buchstaben der beiden Gesetze dies und nichts anderes vorschreiben.

- In allen Bundesländern bemüht man sich, derzeit Landes-Datenschutzgesetze über die parlamentarischen Hürden zu bringen. Recht zweifelhaft ist, ob das allerorts bis zum 1. Januar 1978 möglich sein wird. Abgesehen von zeitlichen Verzögerungen droht wohl auch eine Rechtszersplitterung durch unterschiedliche landesrechtliche Datenschutz-Regelungen für die öffentliche Verwaltung.

Ich würde mit der Formulierung "Rechtszersplitterung" etwas vorsichtig sein. Soviel sollte man feststellen: Es besteht Einigkeit unter allen politischen Parteien darüber, daß das Bundesdatenschutzgesetz ein vorläufiges Gesetz ist und daß es novellierungsbedürftig ist. Das ist bei jeder Gelegenheit betont worden. Man kann also von keinem Landesgesetzgeber ernsthaft verlangen, er solle unbesehen Bestimmungen des BDSG übernehmen, über die bereits Einigkeit herrschten, daß sie in dieser Art und Weise nicht praktikabel sind. Insoweit ist es Aufgabe der Landesgesetzgeber, korrigierend einzugreifen. Das genügt aber nicht. Die Landesgesetzgeber müssen im Hinblick auf eine Novellierung des BDSG auch versuchen, Weichen zu stellen. Das geschieht, aber das alles vollzieht sich unter Berücksichtigung, daß das Bundesdatenschutzgesetz die Standards setzt, die in allen Landesdatenschutzgesetzen - ungeachtet weitergehender Regelungen für mehr Datenschutz - verwirklicht werden. Insofern herrscht absolute Rechtseinheit. Differenzen werden dort bestehen, wo einzelne Landesdatenschutzgesetze bei der Verwirklichung von zusätzlichem Datenschutz des Bürgers gegenüber der dort jeweiligen Landesverwaltungen verschiedene Wege beschreiten. Ich würde hierzu vorschlagen: Wir haben noch Zeit bis zum 31. Dezember dieses Jahres, die einzelnen Entwürfe der Landesdatenschutzgesetze, dort wo sie weitergehen als das BDSG, aufeinander abzustimmen, um Differenzen zu vermeiden.

- Das hieße Kompatibilität in den Minimal-Anforderungen. Da setzt das BDSG die Standards. Aber Verzettelung droht. Es ist festzustellen, daß die einzelnen Länder unterschiedlich weit voranpreschen in der Weiterentwicklung des Schutzes personalbezogener Daten.

Ohne jeden Zweifel. Und das ist gut so. Wettbewerb unter den Ländern ist im Augenblick im Interesse des Bürgers.

- Vermuten Sie, daß noch in dieser Legislaturperiode, die bekanntlich bis ins Jahr 1980 läuft, das Bundesdatenschutzgesetz novelliert werden wird?

Ich halte mich dabei strikt an die Äußerung der Bundesregierung: Sie hat auf Anfrage eines Oppositionsabgeordneten im Bundestag erklärt, daß noch in dieser Legislaturperiode eine Novellierung des BDSG erfolgen soll. Ich meine, man sollte das ernst nehmen. Man sollte jetzt bereits anfangen, mit Hilfe der Ländergesetzgebung sich zu überlegen, wo die novellierungsbedürftigen Punkte sind. Novellierung kann im übrigen noch ein anderes bedeuten, das darf man nicht übersehen: Das Bundesdatenschutzgesetz ist immer als erster Schritt anzusehen. Wir brauchen bereichsspezifische Gesetze. Novellierung kann also auch den nunmehr notwendigen Übergang zu zusätzlichen bereichsspezifischen Gesetzen bedeuten.