Datenschutz durch Selbstkontrolle und Fremdkontrolle

04.04.1976

Mit dem Hessischen Datenschutzbeauftragten Prof. Spiro Simitis und dem ADL-Bundesvorsitzenden Thilo Steinbrinck (Vorstand der Datenzentrale Schleswig-Holstein) sprach CW-Chefredakteur Dr. Gerhard Maurer

- Acht Stunden Hearing zum Datenschutzgesetz. Hat diese Mammut-Sitzung heute neue Einsichten gebracht?

Simitis: Es wurde deutlich, daß es eine ganze Reihe von Punkten gibt, die noch einmal überlegt werden müßten. Die Fremdkontrolle sollte im privaten Bereich anders geregelt werden, denn was sich jetzt anbahnt, könnte sehr kostspielig werden. Ein zweiter wohl noch strittiger Punkt ist die Weitergabe von Daten innerhalb von Konzernen, vielleicht ließen sich bei Beibehaltung des generellen Verbots einschränkende Regelungen finden. Eine dritte Frage bleibt, ob man nicht bei der berufsmäßigen Teilnahme am wirtschaftlichen Verkehr Einschränkungen bei Beibehaltung der sonst gültigen Datenschutz-Vorschriften erlauben sollte, etwa im Kreditgeschäft. Hervorzuheben ist, daß im Gegensatz zu den beiden früheren Anhörungen heute niemand die Notwendigkeit des Gesetzes in Frage gestellt hat.

- Im Hearing hieß es, das Bundesdatenschutzgesetz habe die Bedeutung eines Jahrhundert-Gesetzes, vergleichbar mit der Gewerbeordnung aus dem - letzten Jahrhundert. Ist dies Gesetz eigentlich genügend vorbereitet worden? Zu viele Punkte bleiben doch offen.

Steinbrinck: Das Gesetz ist über einige Jahre beraten worden. So hat man heute einen Punkt erreicht, daß ein Gesetz durchaus verabschiedet werden kann. Aber die technische Entwicklung wird in den nächsten Jahren weitergehen. Es wird also sicherlich Weiterentwicklungen geben, besonders bei den sogenannten Spezialkatalogen des - Gesetzes, die technische Kontrollen vorschreiben. Hier hat der ADL Einwendungen erhoben.

- Besonders umstritten war die Vorschrift des Gesetzentwurfes bezüglich der : Weitergabe von personenbezogenen Daten an Dritte. Im Regierungsentwurf gab es da eine Generalklausel, die - so hieß es - bei "berechtigtem Interesse" eine Wettergabe erlaubte. Im Innenausschußentwurf gibt es jetzt eine Verschärfung. Die Weitergabe von Daten an Dritte soll nur zulässig sein "im Rahmen eines Vertrages oder vertragsähnlichen Vertrauensverhältnisses mit dem Betrogenen".

Simitis: Ich bin mit der neuen Fassung sehr zufrieden, denn ein entscheidender

Unsicherheitsfaktor ist weggefallen, nämlich "das berechtigte Interesse". Diese Formulierung gab im Regierungsentwurf demjenigen, der über die Daten verfügte, die Möglichkeit, auch letztlich darüber zu entscheiden, ob er sie weitergibt.

- Nun wurde heute insbesondere von den Vertretern der Kreditwirtschaft und der Versicherungswirtschaft sehr beredsam der Einwand erhoben, daß zum Funktionieren dieser Branchen unabdingbar sei daß Daten über Dritte weitergegeben werden, ohne daß dieser Dritte davon Kenntnis erhält. Sind diese Einwände berechtigt?

Simitis: In der heute vorgetragenen Form sind diese Einwände bestimmt nicht berechtigt. Denn zunächst einmal hat die Kreditwirtschaft auch nach der neuen Fassung des Bundesdatenschutzgesetzes die Möglichkeit, auf einen Fundus von Daten zurückzugreifen - nämlich auf die Daten, die von ihr von den einzelnen Kunden zur Verfügung gestellt werden. Des weiteren kommt es auf die Fassung der vertraglichen Beziehungen zu den Kunden an.

- Also wird es Kleingedrucktes auf den Verträgen geben, die die Bank autorisieren, die erhaltenen Informationen auch an Dritte weiterzuleiten?

Simitis: Kleingedrucktes ist dann unerträglich, wenn nicht gleichzeitig daneben ein anderes Überwachungssystem besteht. Bei einer Existenz von Fremdkontrolle ist auch Kleingedrucktes akzeptabel. Ohne diese Fremdkontrolle wäre es in der Tat mit dem Kleingedruckten allein niemals getan.

Steinbrinck: Die Schwierigkeiten für die Banken und die Versicherungswirtschaft bestehen darin, daß Kredite und Versicherungsverträge in vielen Fällen nur dann zustande kommen können, wenn auch "Bewertungen" über die Kreditnehmer oder Versicherungsnehmer in den Banken und Versicherungen vorgenommen werden. Sie brauchen diese bewertenden Personalangaben, um dem Mißbrauch von Krediten und Versicherungspolicen entgegenzutreten. Dieser Zweck kann nicht erreicht werden, wenn die Informationen dem Betroffenen mitgeteilt werden. Es ist deshalb vorgeschlagen worden, mit Ausnahmeregelungen für die Versicherungs- und Kreditwirtschaft zu arbeiten.

- Seitens des ADL wurde eingewandt, daß das Gesetz in der Anlage zum Paragraphen 4 Maßnahmen vorschreibt zur Kontrolle der Verarbeitung personenbezogener Daten, die sehr umfassend sind und die Wirtschaft auch sehr viel kosten werden. Können Sie diese Einwände noch einmal präzisieren?

Steinbrinck: Der ADL hat besonders die Bestimmung über die Vermittlungskontrolle, die Abrufkontrolle, die Eingabekontrolle und die Transportkontrolle, die vor allen Dingen für Fernverarbeitungssysteme relevant werden, als zu weitgehend kritisiert, wenngleich sie sicherlich nicht voll abgelehnt werden können. Der ADL hat vorgeschlagen, daß Durchführungsbestimmungen des Bundes und der Länder später die für den im Einzelfall notwendigen Kontrollmaßnahmen bestimmen.

Simitis: Ich meine, daß man gegen den jetzigen Katalog keine Einwände haben kann, weil er unter dem ausdrücklich formulierten Vorbehalt steht, daß der Verhältnismäßigkeits-Grundsatz gilt. Es sind also nicht alle Maßnahmen des Kataloges unbedingt zu treffen, sondern es hängt vom Einzelfall ab. Infolgedessen handelt es sieh hier nur um Zielvorschläge, um Richtlinien, und keineswegs um eine abschließende Regelung.

- Es bleibt also dem einzelnen Unternehmen überlassen, welche der im Gesetz genannten Maßnahmen für die Sicherung der Verarbeitung personenbezogener Daten es treffen will. Vielleicht trifft es gar keine?

Simitis: Das wäre schlicht rechtswidrig.

- Das Prinzip, um das es hier geht, ist die Alternative Selbstkontrolle oder Fremdkontrolle. Im Bundesdatenschutzgesetz ist beides vorgesehen, jedoch wird wohl der Selbstkontrolle in Form des betrieblichen Datenschutzbeauftragten ein größeres Gewicht gegeben. Wird diese Selbstkontrolle funktionieren?

Steinbrinck: Zur Selbstkontrolle ist zu sagen, daß das Gesetz einen betrieblichen Datenschutzbeauftragten vorsieht. Er soll sehr weitgehende Rechte haben, ähnlich wie der Sicherheitsbeauftragte, der heute in allen Betrieben bekannt ist. Im Hearing wurde vorgetragen, daß 9000 Datenschutzbeauftragte in der deutschen Wirtschaft innerhalb der vom Gesetz genannten Frist von einem Jahr nach Inkrafttreten zu ernennen sind. Diese 9000 Datenschutzbeauftragten, brauchen Richtlinien, nach denen sie die betriebliche Selbstkontrolle des Datenschutzes durchführen können.

Simitis: Ich halte die Einführung der betrieblichen Datenschutzbeauftragten für eine bedenkliche, wenn nicht überflüssige Regelung. Hier wird es Interessenskonflikte geben, die man nicht übersehen darf. Wenn man gleichzeitig - und dies hat der Innenausschuß getan- die Fremdkontrolle einführt, dann wird dieser betriebliche Datenschutzbeauftragte nicht mehr nötig sein. Er hatte möglicherweise eine Berechtigung, solange es an dieser Fremdkontrolle fehlte.

- Wird Fremdkontrolle der Verarbeitung personenbezogener Daten nicht zur Entstehung vieler staatlicher Behörden bei Bund und Ländern führen? Man denke an Parkinsonsche Mammut-Behörden. Kommt - wie es im Hearing hieß - mit der Fremdkontrolle nicht der Staatskommissar in den Betrieb?

Simitis: Keineswegs. Diese Mammutbehörde kann man durchaus vermeiden. - wenn allerdings in einem Punkt die Vorschläge des Innenausschusses geändert werden. Man kann auf sehr einfache Weise die notwendige Überwachung durchführen, ohne gleichzeitig den Behördenapparat stark auszudehnen, wenn es - wie im Gesetz vorgesehen - bei den Aufsichtsbehörden der Länder bleibt und man gleichzeitig - wie im Gesetz noch nicht vorgesehen - einen Genehmigungsvorbehalt vorsieht. Genehmigungsvorbehalt heißt hier, daß, bevor überhaupt mit dem Betrieb eines Informationssystems begonnen werden kann, bestimmte Informationen gegeben werde müssen und es davon und von den möglicherweise noch zu treffenden Auflagen abhängt, ob dieses Informationssystem auch tatsächlich betrieben werden darf.

- Was sagt der Vertreter der Anwender?

Steinbrinck: Auch der ADL befürwortet ein Mischsystem zwischen der Selbstkontrolle der Anwender und der Fremdkontrolle durch den Staat. Allerdings muß das Schwergewicht bei der Selbstkontrolle liegen. Den Länderbehörden soll die Kompetenz übertragen werden, die Datenbestände zu registrieren, die unter das Datenschutzgesetz fallen. Und sie sollen Richtlinien vorgeben, die die betrieblichen Datenschutzbeauftragten brauchen, um den Datenschutz in den Betrieben durchzuführen. Damit sollten sich aber die Befugnisse der staatlichen Aufsichtsbehörden erschöpfen.