Im März dieses Jahres legte das Bundesinnenministerium einen Referentenentwurf zur Novellierung des Bundesdatenschutzgesetzes (BDSG) vor. Darin ist unter anderem neben der Ausweitung des bereichsspezifischen Datenschutzes auch eine stärkere Kontrollbefugnis der staatlichen Aufsichtsbehörden vorgesehen. In den seither geführten Diskussionen der DV-Anwender stehen vor allem drei Aspekte des Novellierungsentwurfs im Mittelpunkt: die zukünftige Stellung der betrieblichen Datenschutzbeauftragten, die Absicht, "bei Gefahr im Verzuge" eine ganze DV stillzulegen sowie die Erweiterung des Dateibegriffs. Die COMPUTERWOCHE befragte einige Leiter beziehungsweise Ansprechpartner der Erfassungskreise (ERFA-Kreise) der Gesellschaft für Datenschutz und Datensicherung (GDD) nach ihrer Meinung über die vorgesehenen Neuregelungen. cmd

1 Wie würden Sie den Maßstab charakterisieren, den die Aufsichtsbehörden in Sachen Datensicherheit in Ihrem Bereich anlegen?

2 Welche Beanstandungen mit welchen entsprechenden Maßnahmen zur Abhilfe sind in letzter Zeit von der Behörde gemacht beziehungsweise verlangt worden? In welchem Zeitraum sollten diese Beanstandungen behoben werden?

3 Welche Probleme gibt es bei der Geschäftsleitung von der Kostenseite her, wenn interne oder externe Forderungen nach erhöhter Datensicherheit gestellt werden?

4 Der Gesetzgeber hat im Rahmen der Novellierungsüberlegungen zum BDSG vorgesehen, die Rechte der Aufsichtsbehörden zu Lasten der DV-Anwender auszudehnen.

a) Wie sehen Sie die Frage der Abschaffung der "Anlaß-Aufsicht" zugunsten einer direkten Fremdaufsicht?

b) Wie bewerten Sie das möglicherweise zukünftige Recht der Aufsichtsbehörden, per Verwaltungsakt DV-Anlagen im Unternehmen stillzulegen?

5 Sind die gesetzlichen Auflagen umfangreicher als die, die aus betrieblichem Interesse notwendig sind?

6 Wird in Ihrem Hause in periodischen Abständen eine Risikoanalyse durchgeführt?

Hans-J. Villwock, Leiter des GDD-Erfa-Kreises Bonn

zu 1: Der Maßstab ist fair und sachlich, es erfolgt eine der Sache angemessene Beurteilung.

zu 2: Beanstandungen sind mir nicht bekannt.

zu 3: Nach meinen persönlichen Erfahrungen muß der Geschäftsleitung der Nutzen nachgewiesen werden. Außerdem sollten die notwendigen Ausgaben in einem vernünftigen Verhältnis zum EDV-Gesamtbudget stehen.

zu 4a: Mir ist unklar, weswegen der Gesetzgeber hier eine Verschärfung beabsichtigt.

zu 4b: Das halte ich für sehr bedenklich, denn der Maßstab, der dafür notwendig wäre, ist nicht bekannt. Außerdem müßte die Zahl der Beamten - in unserem Erfa-Bereich sind es insgesamt drei - schätzungsweise auf das Zehnfache erhöht werden. Die damit verbundene Kostenerweiterung spricht angesichts der wirtschaftlichen Lage wohl dagegen.

zu 5: Die gesetzlichen Auflagen und die betrieblichen Interessen sind in den meisten Fällen deckungsgleich, von Betrieb zu Betrieb allerdings sehr unterschiedlich.

zu 6: Eine Risikoanalyse wird in unserem Unternehmen regelmäßig durchgeführt, wenn es Pannen gibt. Die Verantwortlichen beraten dann sowohl über die notwendigen Sofort- wie auch über die Langfristmaßnahmen.

Hans-Dieter Koch, Leiter des GDD-Erfa-Kreises Bremen

zu 1: Die Aufsichtsbehörden haben im privatwirtschaftlichen Bereich bisher nur in wenigen Fällen die Anlaß-Aufsicht wahrnehmen müssen. Der Maßstab, den die Aufsichtsbehörden in Sachen Datensicherheit anlegen, ist eher eng, teilweise kleinlich. Die Auslegungen sind an den Interessen des Betroffenen orientiert, doch genügen die Kompetenzen der Aufsichtsbehörden offensichtlich nicht, um den notwendigen präventiven Datenschutz wirkungsvoll überwachen zu können.

zu 2: Bekannt gewordene Beanstandungen waren zum Beispiel: fehlende Ernennung eines betrieblichen DSB (Bußgeldandrohung), Inkompatibilität der Tätigkeiten des DSB (konnte nicht durchgesetzt werden), Datenweitergabe an Dritte ° 24 (Beratung), fehlende Information an Betroffene ° 26 Abs. 1 (Beratung), mangelhafte Zugangs- und Abgangskontrolle ° 6 Anlage (Beratung), fehlende Paßwortkontrolle im Kundeninformationssystem (Beratung), Gestaltung der Verpflichtungsmodalitäten ° 5 (konnte nicht durchgesetzt werden), Gestaltung von Bildschirmarbeitsplätzen (Beratung), Führung des Dateikatalogs (Beratung).

zu 3: Die Bereitschaft der Unternehmensleitungen zu Investitionen, die der Datensicherheit dienen, wird in den einzelnen Unternehmen unterschiedlich zu betrachten sein. Doch sind Investitionen aus internen Datensicherungsgründen in der Regel leichter durchzusetzen. Weitergehende Datensicherungsmaßnahmen, die nur mit dem BDSG zu begründen sind, lassen sich oft nur schwer verwirklichen. Die betroffenen Abteilungen sträuben sich häufig, solche Maßnahmen zu realisieren, besonders dann, wenn sie einen gewissen Aufwand erfordern und auch noch Geld kosten. Dem betrieblichen DSB fehlt hier häufig die Durchsetzungskompetenz.

zu 4a: Die direkte Fremdaufsicht (Abschaffung der Selbstkontrolle) wird aus Kostengründen abgelehnt, Eine gewisse Kompetenzerweiterung der Aufsichtsbehörde ist jedoch notwendig. Die Aufsichtsbehörde muß gegenüber dem betrieblichen DSB tätig werden können, wenn ihr Unzulänglichkeiten im Datenschutz bei der betreffenden speichernden Stelle bekannt werden, auch dann, wenn ein "konkreter Anlaß" (Datenschutzverletzung) nicht gegeben ist. Angesichts der zunehmenden Gefahren ist das Prinzip der Verhinderung von Datenschutzverletzungen (Schutz des Betroffenen) sicherzustellen. Dieses muß das Recht der Aufsichtsbehörde einschließen, gegebenenfalls per Verwaltungsakt DV-Anlagen in Unternehmen stillzulegen. (Wer solche technischen Mittel einsetzt, muß eine ausreichende Sorgfaltwaltung garantieren.) Unternehmen, die sich ihrer Verantwortung gegenüber den Betroffenen bewußt sind und geeignete Datenschutzmaßnahmen treffen, haben nichts zu befürchten.

zu 5: Da das betriebliche Interesse gelegentlich mit den Interessen Betroffener nicht identisch ist, müssen zwangsläufig die gesetzlichen Auflagen umfangreicher sein. Die Einsicht der Unternehmen zur Durchführung entsprechender Datenschutz- und Datensicherungsmaßnahmen ist branchenmäßig unterschiedlich und divergiert auch von Unternehmen zu Unternehmen.

zu 6: Risikoanalysen, ob periodisch oder bei Einführung neuer Orgasationsverfahren, werden in einem ordnungsgemäß geführten Unternehmen stets durchgeführt.

Klaus Hoffmann, Leiter des GDD-Erfa-Kreises Detmold

zu 1: Keine Angabe möglich, da noch keine praktische Erfahrung im Umgang mit der Aufsichtsbehörde erworben wurde.

zu 2: Ebenfalls.

zu 3: Gesetzlich oder betrieblich erforderliche Maßnahmen werden auf jeden Fall durchgeführt. Natürlich wird, sofern möglich, die kostengünstigere Lösung bevorzugt. Eine Ablehnung allein aus Kostengründen ist noch nicht vorgekommen.

zu 4a: Die vom Gesetzgeber vorgesehene Eigenkontrolle durch den betrieblichen Datenschutzbeauftragten halte ich für völlig ausreichend. Die Fremd-Aufsicht ist auch schon aus Kostengründen abzulehnen.

zu 4b: Übersteigert und nach den Erfahrungen mit dem Datenschutzgesetz durch nichts gerechtfertigt.

zu 5: Die gesetzlichen Auflagen sind zwar insgesamt umfangreicher, es wird aber vom Gesetzgeber nicht verlangt, daß alle Maßnahmen realisiert werden. Die realisierten Maßnahmen sind auch aus betrieblichem Interesse notwendig.

zu 6: Zwar nicht in periodischen Abständen, aber es werden Risikoanalysen durchgeführt.

Dietrich Riedel, GDD-Erfa-Kreis Essen

zu 1: -

zu 2: In unserem Unternehmen (etwa 70 000 Mitarbeiter) liegen bisher keinerlei sachliche Beschwerden vor, weder von Betroffenen noch von Aufsichtsbehörden. Es gab lediglich einige Verständnisfragen zu klären.

zu 3: Die von uns getroffenen Maßnahmen zur Datensicherung erfolgten bereits im betrieblichen Interesse, zum großen Teil schon vor Inkrafttreten des BDSG.

zu 4a: Für die in den Novellierungsüberlegungen vorgesehenen Erweiterungen der Rechte der Aufsichtsbehörden bestehen in unserem Bereich wie auch im gesamten stationären Einzelhandel keinerlei Notwendigkeiten.

zu 4b: Aus unserer Sicht würde eine Erweiterung des BDSG nur zu weiterer Bürokratisierung und damit zu unnötigen Kosten führen. Dafür kann - gerade in der jetzigen Situation - kein Verständnis aufgebracht werden.

zu 5: Durch die gegenwärtige Fassung des BDSG ist der Datenschutz ausreichend sichergestellt, was das Fehlen jeder sachlichen Beschwerde beweist.

zu 6: -

Gert Hesse, Leiter des GDD-Erfa-Kreises Dortmund

zu 1: Sehr wohlwollend.

zu 2: Rein organisatorische Mängel wie Registeraufbau EDV-Leiter/DSB.

zu 3: Harte Prüfung der Notwendigkeit.

zu 4a: Sehr schlecht.

zu 4b: Wird in der Praxis nicht oft vorkommen; wenn ja, werden die Gründe dafür sprechen.

zu 5: Zur Zeit nein.

zu 6: Ja.

Horst Laduga, Leiter des GDD-Erfa-Kreises Frankfurt

zu 1: Verständlich und nicht überzogen.

zu 2: Mir sind keine bekannt.

zu 3: Eine Datensicherheit muß garantiert werden. Kosten können und dürfen nur in angemessener Höhe sein.

zu 4a: Positiv, zumal dann der Gedanke des Datenschutzes und der Datensicherheit nicht nur theoretisiert, sondern auch praktiziert wird, insbesondere, wenn eine neutrale Kontrollinstanz besteht, die die freiwillige ergänzt.

zu 4b: Positiv, da dann das Datenschutzbewußtsein an Bedeutung gewinnt, wenn Sanktionen zu erwarten sind. Oder werden straffreie Gesetze ernsthaft beachtet?

zu 5: Die gesetzlichen Auflagen sollten kongruent sein mit der Bedeutung der Datenverarbeitung. -

zu 6: Nein.

Joachim Knietzsch, Leiter des GDD-Erfa-Kreises Hannover

zu 1: Streng.

zu 2: Zugangskontrolle, Speicherkontrolle, Altpapiervernichtung, Übermittlung, Auftragskontrolle.

zu 3: Keine.

zu 4a: Bin dagegen.

zu 4b: Unzulässig: Zuständigkeit und Verantwortung nicht deckungsgleich!

zu 5: Ja, im Bereich der Formalmaßnahmen.

zu 6: Ja, zumindest partiell.

Dr. Erhard Becker, Leiter des GDD-Erfa-Kreises Koblenz

zu 1: Kompetent und angemessen. Die regionale Aufsichtsbehörde informiert sich auf den ERFA-Sitzungen über den neuesten Stand, und wir haben keine Schwierigkeiten.

zu 2: Im Hinblick auf den dritten Abschnitt des BDSG (Datenverarbeitung nicht-öffentlicher Stellen für eigene Zwecke) gab es einige, sehr wenige Aktionen der Behörden, man kann das aber eher als Rat umschreiben. Bei der geschäftsmäßigen Datenverarbeitung nicht-öffentlicher Stellen für fremde Zwecke hoffen wir einige Fälle mehr.

zu 3: Die Geschäftsleitung des eigenen Unternehmens ist durch das Eigeninteresse sehr hoch motiviert, die notwendigen hardwaremäßigen Sicherungsinstallationen durchzuführen, wenn diese angemessen sind.

zu 4a: Beide Unterpunkte werden von uns sehr stark abgelehnt.

zu 5: Ja, hauptsächlich in der organisatorischen Art und im Führen zusätzlicher Protokolle, das heißt, der Papier- und der Erfassungsaufwand ist durch das BDSG höher.

zu 6: Es wird mindestens jährlich eine Risikoanalyse durchgeführt.

Wolfgang Strubel, Leiter des GDD-Erfa-Kreises Mannheim/Ludwigshafen

zu 1: Mir ist noch kein Fall bekannt geworden, in dem die Aufsichtsbehörden in unserem Bereich Prüfungen im Hinblick auf Datensicherheit durchgeführt haben.

zu 2: Auch hier ist mir nicht bekannt, daß in dieser Richtung von der Behörde Auflagen erfolgt sind.

zu 3: Natürlich stellt sich bei solchen Maßnahmen die Frage der Kosten und der Kosten-Nutzen-Relation. Alle Unternehmen sind im eigenen Interesse bemüht, die Datensicherheit so intensiv wie möglich zu gestalten. Das BDSG sagt aber dazu im ° 6: "Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht."

zu 4a: Man sollte die Anlaß-Aufsicht, die sich bisher bewährt hat, nicht zugunsten einer direkten Fremdaufsicht aufgeben.,

zu 4b: Das Recht der Aufsichtsbehörden, per Verwaltungsakt eventuell ganze DV-Anlagen stillzulegen, geht weit über das vertretbare Maß hinaus und ist daher strikt abzulehnen.

zu 5: Es gab sicherlich bisher keine Kollision, beides in Einklang zu bringen, wobei das BDSG in dieser Richtung auch keine überzogenen Forderungen stellt. Über die Auflage der Dateierfassung kann man hier natürlich geteilter Meinung sein, da es den Unternehmen oft erhebliche Aufwendungen verursacht, diese Dateien zu erstellen und immer auf dem laufenden zu halten.

zu 6: Ja.

Dr. Günther Roos, Leiter des GDD-Erfa-Kreises München

zu 1: Der Maßstab ist angemessen.

zu 2: Gefordert wurden zum Beispiel eine Automatisierung des Bandarchivs, eine Außenhautabsicherung (Vergitterung von Fenstern und Einbau von stabilen Türen), die möglichst schnelle Entsorgung nicht mehr benötigter Datenträger (keine zu lange Lagerung) sowie Brandfrüherkennungseinrichtungen bei Rechenzentren.

zu 3: Von der Geschäftsleitung her gibt es eigentlich wenig Probleme.

zu 4a: Mir sind keine Vorfälle bekannt, die eine direkte Fremdaufsicht notwendig erscheinen lassen.

zu 4b: Eine Stillegung wäre nur bei groben und außergewöhnlichen Mißständen vertretbar.

zu 5: Hier wäre eine klarere Eingrenzung wünschenswert, die durch den Entwurf aber nicht gegeben ist.

zu 6: Bei den großen Unternehmen werden regelmäßig Risikoanalysen durchgeführt. Bei mittleren und kleinen Betrieben ist dagegen noch einiges zu tun.

Peter Voogt, Leiter der GDD-Erfa-Kreise Wuppertal und Solingen/Remscheid

zu 1: Die Aufsichtsbehörde ist tolerant und bereit, über die Probleme zu diskutieren.

zu 2: Beanstandungen zur Datensicherheit sind mir nicht bekannt. Im formalen Bereich sind zwar Beanstandungen ausgesprochen worden, jedoch blieb für Abhilfe ausreichend Zeit.

zu 3: Probleme bei den Geschäftsleitungen gibt es in der Regel, wenn hohe Beträge für erhöhte Datensicherheit erforderlich werden. Im Bereich der von mir betreuten Erfa-Kreise hat man bisher immer eine vernünftige Lösung gefunden.

zu 4a: Die Abschaffung der Anlaß-Aufsicht führt zu einer Schwächung des betrieblichen Datenschutzbeauftragten und des Prinzips der Eigenkontrolle. Im Rahmen der Novellierung wäre eine Einschaltung der Aufsichtsbehörden außer durch den Betroffenen auch bei Nachweis eines berechtigten Interesses vertretbar gewesen.

zu 4b: Die Absicht, eventuell EDV-Anlagen stillzulegen, ist absurd.

zu 5: Die bei der Novellierung vorgesehenen neuen Auflagen schießen in der Mehrzahl weit über das Ziel hinaus, Beispiel: Vorschriften über den Betrieb von Datenbanken.

zu 6: Ja.