KÖLN (ee) - Eine thematische inhaltliche Analyse der zum Bundesdatenschutzgesetz erschienenen Veröffentlichungen führt im Hinblick auf Klein- und Mittelbetriebe zu einem ausgesprochen unbefriedigenden Ergebnis. So werden neben allgemein Kommentaren zum Gesetz einerseits juridische Probleme erörtert, die diesen Kreis von Unternehmungen nur selten berühren, wie Einordnungsmöglichkeiten oder -notwendigkeiten unter den dritten oder vierten Abschnitt des Gesetzes oder Datenverarbeitung in Konzernen. Andererseits werden organisatorische Fragen nahezu ausnahmslos in bezug auf den zu bestellen (bestellten) Datenschutzbeauftragten diskutiert oder aber Möglichkeiten zur Erfüllung des Zielkatalogs (Anlage zu ° 6, BDSG) dargestellt, die in diesem Kreise nicht vorhandene hard- und softwaremäßige Ressourcen als Voraussetzungen erfordern.

Diese thematischen und inhaltlichen Schwerpunkte der Veröffentlichungen führen zu einer Unsicherheit bei der Umsetzung der gesetzlichen Anforderungen in konkrete Maßnahmen oder aber verleiten eine Vielzahl von Klein- und Mittelbetrieben zu der Annahme daß das BDSG - sofern die Kriterien zur Bestellung eines betrieblichen Datenschutzbeauftragten nicht erfüllt werden - für sie keine Auswirkungen hat.

Das Bundesdatenschutzgesetz gilt jedoch für alle Unternehmungen, unabhängig von ihrer Größe und Branche, da das einzige Prüfkriterium, die Speicherung der personenbezogenen Daten in Dateien, praktisch von jeder Unternehmung erfüllt wird. Somit stellt sich für Klein- und Mittelbetriebe nicht die Frage, "ob", sondern "wie" das Gesetz erfüllt werden kann.

Die mit dieser Fragestellung verbundenen Probleme in geeigneter Weise zu lösen, stellt sich als Forderung an Theorie und Praxis. Dieser Aufforderung sollte zumindest aus zwei Gründen gefolgt werden.

Zum einen muß es im Interesse derjenigen sein, die die mit dem BDSG verfolgten Ziele akzeptieren und daher Bestrebungen gegen eine weitere Einengung des persönlichen Freiraums unterstützen. Zum anderen besteht ein rein

rationaler Grund. So hätte die Unterstützung durch ein Angebot zielgruppen-orientierter Lösungsalternativen eine große Breitenwirkung.

Nachdem die Notwendigkeit der Datensicherung und des Datenschutzes für diese Unternehmungsgruppen hinreichend geklärt ist, muß die richtige Form der Unterstützung gefunden werden. Die erfolgversprechendste scheint die Entwicklung und Publikation konkreter Sicherungs- und Schutzmaßnahmen speziell für diese Unternehmungsgruppe zu sein.

Selbstverständlich sind dabei die finanziellen und technischen Restriktionen zu berücksichtigen. Dazu besteht über die "Angemessenheits-Klausel" auch die Möglichkeit. Jedoch darf dieses Prinzip nicht als Legitimation dazu mißbraucht werden, mögliche Maßnahmen die im Verlauf eines Jahres Kosten von einigen hundert oder "gar" tausend

Mark zur Folge haben, sofort zu verwerfen.

Auch ist es sicher nicht "angemessen", wenn - wie einige Autoren es vorschlagen - die auch in Klein- und Mittelbetrieben organisatorisch und/oder technisch mögliche Zugangskontrolle unterbleibt und statt dessen eine allgemeine Befugnis an all diejenigen Personen erteilt wird, die im betreffenden Raum arbeiten. Solche "Vorschläge" resultieren

überwiegend daraus, daß komplexe Kontrollsysteme nicht auf die spezifischen belange dieser Unternehmungsgroßen ausgerichtet werden (können). Jedoch lassen sich in vielen Fällen die in großen Rechenzentren nur mit aufwendigen Ausweissystemen erreichbaren Sicherungen in kleineren Unternehmungen bereits durch ein differenziertes

Schlüsselsystem garantieren.

Solche, auf den ersten Blick möglicherweise trivial anmutenden Überlegungen scheinen dem an MultipIex-Kanal, Blasenspeicher und Laserdrucker orientierten Praktiker fern zu liegen und außerhalb der Interessensphäre des auf Konzeptionen von vollintegrierten Informationssystemen fixierten Theoretikers zu sein. Jedoch wird den Verantwortlichen in Klein- und Mittelbetrieben durch Vorschlage zum Aufbau einer Shlüsselhierarchie und Hinweis auf den Hersteller eines nur schwer nachzumachenden Schlüssels sicher mehr Unterstützung gegeben als mit dem eindeutigen, aber seitenlangen Nachweis der Unangemessenheit eines mit mehreren hunderttausend Mark Einrichtungskosten verbundenen Sicherungssystem.

Diesem Problem hat sich die Bifoa-Forschungsgruppe DAKUM gewidmet. Hier werden für einzelne Risikokategorien Sicherungsmaßnahmen technischer und organisatorischer Art gesammelt, entwickelt, systematisiert und für die besonderen Belange der Klein- und Mittelbetriebe aufbereitet. Das Ende des Jahres zu veröffentlichende Ergebnis wird in Form eines Handbuches erscheinen. Diese Handbuch ist so angelegt, daß in viele Fällen die Beschreibung einer konkreten Maßnahme bereits die exakte Handlungsvorschrift darstellt. Macht eine besondere betriebliche Situation die Abwandlung der Methode notwendig, so dient die Beschreibung als wertvolle Checkhilfe.

Um möglichst viele praxisrelevante Probleme in dieses Handbuch aufzunehmen, wird ein Kontakt zu weiteren Klein- und Mittelbetrieben angestrebt.