Der von den Datenverarbeitern seit zwei Jahren erwartete Regierungsentwurf zur Novellierung des Bundesdatenschutzgesetztes (BDSG) liegt inzwischen vor. Verbände und Wissenschaftler sind aufgefordert, am 23 Juni in einer Anhörung des Innenministeriums ihre Meinung zu den Änderungsvorschlägen darzulegen.

Angesichts der intensiven Diskussion um die Verbesserung des Datenschutzes, in der es nicht an guten und weniger guten Vorschlägen von allen Seiten gefehlt hat, verwundert es nicht, daß das Bundesinnenministerium mit seinen Änderungsvorschlägen recht maßvoll vorgegangen ist.

Damit aber dürfte eine heftige Kontroverse vorgezeichnet sein: Gegen einige Punkte im Gesetzentwurf wird sich voraussichtlich die Wirtschaft erheblich zur Wehr setzen. Die Gewerkschaften hingegen dürften vermissen, daß Betriebsräten keine besonderen Rechte bei der Durchführung des Datenschutzes eingeräumt wird. Sie werden mit Sicherheit auch beklagen, daß die Gesetzesnovelle nicht zwischen Arbeitnehmerdaten und übrigen Daten unterscheidet, um Forderungen nach besonders restriktiver Handhabung des Datenschutzes im Personalwesen realisieren zu können.

Kritik ist auch von einigen der öffentlichen Datenschutzbeauftragten zu erwarten, die wenige ihrer Verbesserungsvorschläge im Gesetzentwurf wiederfinden.

Einige wesentliche Punkte des Regierungsentwurfs:

Dateibegriff

Das jetzt geltende BDSG enthält hierzu eine mißverständliche und mehrdeutige Formulierung, die unbedingt bereinigt werden mußte. Der Regierungsentwurf bringt Klarheit: Alle maschinell verarbeiteten personenbezogenen Daten, sortier- und auswertungsfähige sonstige Datensammlungen (zum Beispiel Karteien) sowie maschinell erschließbare Akten sind Datei. Alle anderen Daten und Aufzeichnungen bleiben außerhalb des BDSG. Diese Klarstellung kollidiert allerdings mit der Vorschrift, wonach das Erheben von Daten in Zukunft eine der geschützten Phasen der Datenverarbeitung sein soll. Bisher setzte der Datenschutz bei der Speicherung von Daten in Dateien ein. Die Datenerhebung liegt aber davor. Wenn jedoch der Dateibegriff eine zentrale Rolle für die Anwendbarkeit des BDSG spielt, paßt die Ausdehnung aufs Erheben nicht in die Systematik des Gesetzes. Denn: Wenn gleich dateigerecht erhoben wird, zum Beispiel durch Ausfüllen von Formularen, ist dies gleichzeitig eine Speicherung. Bleibt also zu vermuten, daß das BDSG auf herkömmliche Formen menschlicher Kommunikation ausgedehnt werden soll - ein höchst bedenklicher Ansatz!

Datensicherung

Es ist häufig von kompetenter Stelle nachgewiesen worden, daß die Anlage zum ° 6 die die einzelnen Maßnahmenbereiche für Datensicherung enthält, dringend einer redaktionellen und inhaltlichen Überarbeitung bedarf. Die Regierungsvorlage enthält hierzu aber nicht ein Wort. Hingegen sollen die Rechte der Aufsichtsbehörden, die die Datenverarbeitung in der Wirtschaft zu kontrollieren haben, ausgeweitet werden und das in zwei Richtungen: Die Aufsichtsbehörden sollen nicht nur auf begründete Veranlassung eines Betroffenen tätig werden dürfen, sondern auch dann, wenn ihnen anderweitig Umstände über Datenschutzverletzungen bekannt werden (zum Beispiel aus Presseberichten). Diese Regelung scheint vernünftig, insbesondere weil sie das Prinzip der Selbstkontrolle nicht durchbricht.

Bedenklich hingegen ist die Vorschrift, wonach die Aufsichtsbehörde in Zukunft Datensicherungsmaßnahmen anordnen kann, den Einsatz einzelner Verfahren verbieten oder den Betrieb bestimmter Datenverarbeitungsanlagen untersagen darf, wenn ausreichender Datenschutz sonst nicht zu bewirken ist. Solche weitgehenden Eingriffe können überhaupt nur dann realisiert werden, wenn klare gesetzliche Entscheidungsgrundlagen vorliegen - und gerade hierfür ist eine Überarbeitung der Anlage zum ° 6 dringend erforderlich. Und es ist sicher der Überlegung wert, ob eine derartige Eingriffskompetenz, die leicht dem "Übermut der Ämter" förderlich werden kann, nicht den Gerichten vorbehalten bleiben sollte.

Zweckverbindung

Die Befürworter eines allgemeinen Zweckbestimmungsprinzips beim Datenschutzgesetz haben sich in der BDSG-Novelle nicht durchsetzen können. Lediglich punktuell wurde klargestellt, daß die zweckentfremdete Nutzung von Daten ein Mißbrauch ist. Damit wird erreicht, daß eine sinnvolle Mehrfachnutzung einmal erhobener Daten nicht blockiert wird, bestimmte, besonders empfindliche Datenbereiche aber genau vor dieser möglichen Mehrfachnutzung geschützt werden.

Auskunftswesen

Auskunfteien und das Kreditgewerbe werden sich noch intensiv mit der BDSG-Novelle befassen: Einerseits bringt ein verschuldensunabhängiger Schadensersatzanspruch in unbegrenzter Höhe ein unkalkulierbares Prozeßrisiko für Unternehmen, bei denen personenbezogene Daten den Schwerpunkt der Tätigkeit ausmachen (was nebenbei auch für Service-Rechenzentren, Reisebüros, Versandhäuser unter anderen ein wichtiger Punkt ist).

Andererseits will die BDSG-Novelle durch den Zwang zur Offenlegung von Datenherkunft und Entscheidungsgründen bei Negativentscheidungen aufgrund einer Auskunft das Auskunftswesen transparenter machen. Auch wenn Daten berichtigt werden, so müssen diejenigen Stellen informiert werden, die zuvor die unrichtigen Daten übermittelt bekamen. So sinnvoll das Korrekturgebot ist, so bedenklich erscheint die übrige Transparenz, die angestrebt wird. Sie nützt den schwarzen Schafen erheblich mehr als dem Durchschnittsbürger.

Das Auskunfteienwesen und die Sicherungsmechanismen im Kreditgewerbe haben nämlich erreicht, daß Betrügereien erschwert wurden. Auf diese Weise konnten Kreditkosten für "Jedermannkredite" niedrig gehalten werden. Wenn das Kreditgewerbe fordert, daß Datenschutz nicht zum Täterschutz werden darf, dann gewiß nicht ganz ohne Berechtigung. Vielleicht ist ein Kompromiß zu finden, indem die speichernden Stellen zu dieser Transparenz verpflichtet werden, die dann aber nur gegenüber Aufsichtsbehörden und Gerichten praktiziert zu werden braucht, das heißt also im Einzelfall.

Online-Abfragesysteme

Die BDSG-Novelle befaßt sich aufgrund einer Forderung des hessischen Landes-DSB, Prof. Simitis (Tätigkeitsbericht für 1980, S. 11 ff.), mit dem Problem der offenen Onlinesysteme. Dabei geht es um die Überlegung, daß allgemein zugängliche Datenbanken mit personenbezogenen Daten besonders riskant für die Betroffenen sein können. Dabei ist gleichgültig, ob die Systeme de jure allgemein zugänglich sind (also zum allgemeinen Zugriff betrieben) oder de facto, zum Beispiel in einer Konfiguration, die Wählleitungen und Time-sharing vorhält, gleichzeitig aber keine ausreichende Zugriffssicherung kennt. Diese Gefährdung wird aufgegriffen, aber man macht dabei auch so manchem sicheren Datenbanksystem mit definierten Benutzern den Garaus: Die Regelung für die Datenübermittlung an Dritte sieht vor, daß Daten zur Einsicht oder zum Abruf nur bereitgehalten werden dürfen, soweit dies im Rahmen der Zweckbestimmung eines Vertragsverhältnisses mit dem Betroffenen erforderlich ist.

Eine solche Vorschrift wird zu erheblichen Problemen in Konzernen führen, in denen die Konzernglieder gemeinsame Datenbanken online betreiben. Wird beispielsweise aus Kostengründen ein Personalsystem als Datenbank betrieben, zu dessen Daten - im legitimen Umfang - die Unterstützungskasse, die Betriebskrankenkasse, vielleicht auch ein zentral angesiedelter Betriebsarzt Zugriff haben sollen, dann ist ein Erfordernis für eine derartige Situation aus dem jeweiligen Arbeitsvertrag nicht zu konstruieren. Der Konzern müßte demnach auf sein Online-System verzichten. Ähnliche Probleme sind auch in der Versicherungswirtschaft durch die gesetzliche erzwungene Spartenorganisation gegeben.

*Hans Gliss ist PR-Manager der SCS Unternehmensberatung in Essen und ehrenamtliches Vorstandsmitglied der Gesellschaft für Datenschutz und Datensicherung e. V. Bonn.

Die Datenverarbeiter sind aufgerufen die Relevanz der BDSG-Novelle sorgfältig zu prüfen. Seitens der Gesellschaft für Datenschutz und Datensicherung e. V., Bonn*, ist vorgesehen die Stellungnahmen der regionalen Erfahrungsaustauschkreise, soweit sie sich mit der BDSG-Novellierung befaßt haben, zu sammeln und eine anwenderbezogene, die technischen Probleme mitumfassende Stellungnahme dem Bundesinnenministerium gegenüber abzugeben.

*GDD, Alfred-Bucherer-Straße 18, 5300 Bonn 1, Telefon: 02 28/62 40 60