BONN - Auf dem Datenschutzhearing des Bundestags-Innenausschusses reichten die Stellungnahmen vor 5 Professoren und 18 Verbandslobbyisten von "noch zu wenig Schutz für den Bürger" bis zu "verfassungswidrig, weil dies der Wirtschaft unmäßige Kosten aufbürdet".
Von den Parlamentariern beteiligten sich am Hearing vor allem die Abgeordneten Dr. Henschke (SPD), Berger (CDU), Gerster (CDU), Narjes (CDU) und Graf Labmsdorff (FDP). Der Ausschuß-Vorsitzende Prof. Friedrich Schäfer (SPD) bezeichnete die Gesetzesvorlage als ein "einziges Bündel von lnteressenkonflikten". Dennoch war in inoffiziellen Gesprächen zu vernehmen, daß das im Bundesrat zustimmungsbedürftige Bundesdatenschutzgesetz noch in dieser Legislaturperiode verabschiedet werden soll, notfalls müsse - nach Einberufung des Vermittlungsausschusses - das Parlament aus den Ferien zurückgerufen werden.
Kritik wurde nicht nur von den Wirtschaftsverbänden laut - besonders deutlich durch Prof. Müller-Lutz, (Allianz, München) als Sprecher der Versicherungswirtschaft ("Impraktikabel, Blockierung der EDV-Abläufe"), sondern auch von Anwenderseite durch den Bundesvorsitzenden des ADL-Verbandes, Thilo Steinbrinck, der in Frage stellte, ob die im Gesetz vorgesehenen organisatorischen Datenschutzmaßnahmen (Anlage zu ° 4) nicht sehr bald von der Technik überholt sein kannten und der bezweifelte, daß es gelänge, binnen Jahresfrist in der Wirtschaft etwa 9000 betriebliche Datenschutz-Beauftragte der geforderten Qualifikation zu benennen.
Die gesamten schriftlichen Stellungnahmen der Experten und Verbände umfassen 167 Schreibmaschinenseiten (Deutscher Bundestag, Innenausschuß, Ausschußdrucksache 7/137).
Der umstrittene Maßnahmenkatalog (Anlage zu ° 4)
Zur Ausführung der Vorschriften dieses Gesetzes sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind,
1. Unbefugten den Zugang zu Räumen, in denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle),
2. Personen, die bei der Verarbeitung personenbezogener, Daten tätig sind, daran zu hindern, daß sie Datenträger unbefugt entfernen (Abgangskontrolle),
3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle),
4. die Benutzung von automatisierten Datenverarbeitungssysteme, aus denen oder in die personenbezogene Daten durch selbsttätige Einrichtungen übermittelt werden, durch
unbefugte Personen zu verhindern (Benutzerkontrolle),
5. zu gewährleisten, daß die zur Benutzung eines automatisierten Datenverarbeitungssystems Berechtigten durch selbsttätige Einrichtungen ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen (Zugriffskontrolle),
6. zu gewährleisten, daß durch Dokumentation der Datenverarbeitungsprogramme und erforderlichenfalls durch weitere Unterlagen nachträglich überprüft und festgestellt werden kann, an welche, Stelle in welchem Umfang personenbezogene Daten durch selbsttätige Einrichtungen übermittelt wurden (Übermittlungskontrolle),
7. zu gewährleisten, daß durch Führung eines Protokolls nachträglich die Eingabe und der Zeitpunkt des Abrufs personenbezogener Daten durch selbsttätige Einrichtungen überprüft und festgestellt werden können (Abrufkontrolle),
8. zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, welche personenbezogene Daten zu welcher Zeit von wem in automatisierte Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),
9. zu gewährleisten, daß personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
10. zu gewährleisten, daß bei der Übermittlung personenbezogener Daten sowie beim Transport entsprechender Datenträger diese nicht unbefugt gelesen, verändert oder gelöscht werden können (Transportkotrolle),
11. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).
Die am heftigsten umstrittenen Punkte des Entwurfes für ein Bundesdatenschutz-Gesetz:
Paragraph 1, Absatz - 2
Dieses Gesetz schützt personenbezogene Daten die
1. von Behörden oder sonstigen öffentlichen Stellen (Paragraph 5),
2. von natürlichen oder juristischen Personenvereinigungen des privaten Rechts für eigene Zwecke (Paragraph 16).
3. von natürlichen oder juristischen Personen, Gesellschaften oder anderen
Personenvereinigungen des privaten Rechts geschäftsmäßig für fremde Zwecke (Paragraph 23) in Dateien gespeichert, verändert, gelöscht oder aus Dateien übermittelt werden.
Kritik im Hearing:
Unterschiedliche Regelungen begünstigen den Staat gegenüber der Wirtschaft.
Paragraph 2, Absatz 3
Im Sinne dieses Gesetzes ist eine Datei eine gleichartig aufgebaute Sammlung von Daten, die nach anderen bestimmten Merkmalen umgeordnet und ausgewertet werden kann, ungeachtet der dabei angewendeten Verfahren.
Kritik im Hearing:
Keine Unterscheidung von automatischer und manueller DV. Alte Akten fallen auch unter den Datenschutz.
Paragraph 18
Die Übermittlung personenbezoger Daten ist zulässig im Rahmen der Zwischenbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen. Personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis (Paragraph 37 Satz 2 Nr. 1, Satz 3) unterliegen und die von den zur Verschwiegenheit verpflichteten Personen in Ausübung ihrer Berufs- oder Amtspflicht übermittelt worden sind" dürfen vom Empfänger nicht mehr weitergegeben werden.
Kritik im Hearing:
Gefahr der Erhöhung von Wirtschaftskriminalität, keine Weitergabe bei "berechtigtem Interesse".
Paragraph 20, Absatz 1
Werden erstmals zur Person des Betroffenen Daten gespeichert, ist er darüber zu benachrichtigen, es sei denn, daß er auf andere Weise Kenntnis von der Speicherung erlangt hat.
Kritik im Hearing:
Benachrichtigung nicht erforderlich für interne Zwecke gespeicherten Da.
Paragraph 35, Absatz 3
Sind zur Person des Betroffenen bereits , vor dem Inkrafttreten des Gesetzes Daten gespeichert worden, so ist der Betroffene hierüber gemäß Paragraph 20, Abs. 1, Paragraph 26. Abs. 1 binnen eines Jahres nach Inkrafttreten des Gesetzes zu benachrichtigen.
Kritik im Hearing:
Nur noch für Gründe der Revision gelagerte tote Akten werden aktualisierte und in den Datenschutz einbezogen.