Dr. jur. Ralf Bernd Abel, Rechtsanwalt und Notar, Mitglied im Vorstand der Gesellschaft für Datenschutz und Datensicherung e. V. (GDD), Bonn, ferner Mitglied im Gesetzgebungsausschuß für Telekommunikation, Datenverkehr und Datenschutz sowie im Fachausschuß für Büroorganisation und Bürotechnik des Deutschen Anwalt-Vereins, Bonn.
Der betriebliche Datenschutzbeauftragte, dessen Tätigkeit seit Inkrafttreten des Bundesdatenschutzgesetzes im Jahre 1977 in der öffentlichen Diskussion um den Datenschutz eher eine Nebenrolle gespielt hat, gerät unversehens in die Schlagzeilen. Wie gut, würde jeder spontan sagen, dem Datenschutz ein ernstzunehmendes Anliegen ist und der es für richtig hält, einer effektiven Selbstkontrolle den Vorrang vor staatlicher Eingriffskontrolle zu geben. Es bleibt aber beim "würde", weil und solange der Anlaß zu solcher Kontroverse in bloßen berufspolitischen Interessen zu finden ist. Entwickelt sich der Datenschutz neuerdings zur lohnenden Pfründe? Es könnte so aussehen, wenn man sich die Vehemenz vor Augen hält, mit der Juristen und Informatiker im Streit um den besten Mann/ die beste Frau für den Posten des Datenschutzbeauftragten aufeinander eindreschen und sich gegenseitig Inkompetenz vorwerfen.
Die Wahrheit dürfte, wie so oft, in der Mitte liegen. Weder gibt es "den" betrieblichen Datenschutzbeauftragten, noch existiert dafür "die" standardisierte Vorbildung. Kaum eine speichernde Stelle des nicht-öffentlichen Bereichs gleicht der anderen: Die Kommunikationsstrukturen in einer Bank unterscheiden sich zum Beispiel sehr von denen einer Reederei, eines Stahlhandels, eines Versandhauses, einer Versicherung, einer Anwaltskanzlei, einer Auskunftei, eines Datenerfassungsbüros, eines Lettershops, eines Unternehmens der Marktforschung etc. Diese Vielfalt der Datenverarbeitung zeigt sich - selbst noch nach Jahren - beispielsweise demjenigen, der Seminare für Datenschutzbeauftragte leitet, immer wieder. Ein Konzern-Datenschutzbeauftragter mit zahlreichen ihm zuarbeitenden Mitarbeitern läßt sich nun einmal nicht über einen Kamm scheren mit dem betrieblichen Datenschutzbeauftragten einer Versicherungsagentur oder eines Reisebüros.
Wer aber ist nun der beste Kandidat für diese Position? Diese Frage läßt sich nur im Einzelfall entscheiden und hängt von der persönlichen Qualifikation des Bewerbers ab. Zunächst: Soll er von innen oder von außen kommen? Vieles spricht dafür, den Datenschutzbeauftragten als innerbetrieblichen Datenschützer zu bestellen. Schon bei kleinen und kleineren, aber erst recht bei größeren Wirtschaftlichen Einheiten ist die Organisation der EDV oft, so komplex und vielfältig, daß es einem Außenstehenden schwerfallen wird, die innerbetrieblichen Informationsbeziehungen zu durchschauen und ständig zu kontrollieren. Wer aus dem Unternehmen stammt, innerhalb des Unternehmens angesiedelt ist und dort möglicherweise in einem Teil seiner Arbeitszeit auch andere Funktionen wahrnimmt, hat in aller Regel einen weitaus besseren Kenntnisstand über die Besonderheiten der Firma, vor allem dann, wenn sie überregional tätig oder verzweigt ist.
Selbstverständlich besitzen Rechtsanwälte durchweg die Qualifikation, sich in neue Sachgebiete einzuarbeiten - sie sind schließlich auch als Personalchefs und Abgeordnete, als Manager und Minister tätig. Wenn aber die Meinung geäußert wird, ein größerer Teil der Rechtsanwälte könnte mir nichts dir nichts die vielfachen Anforderungen, die an einen Datenschutzbeauftragten gestellt werden, erfüllen, ist dies mit allergrößter Vorsicht zu genießen. Der Rechtsanwalt, der meint, in einem Tagesseminar alle die Voraussetzungen lernen zu können, die erforderlich sind, um dann mit leichter Hand ein Mandat als externer Datenschutzbeauftragter neben den vielen anderen Mandaten ordnungsgemäß abwickeln zu können, läuft Gefahr, sich damit zu überschätzen und ein nicht zu unterschätzendes Haftungsrisiko) einzugehen.
Den lnformatikern ist zuzugeben, daß ein nicht unerheblicher Teil der Juristen an einer großen Distanz zur Technik leidet. Es läßt sich daher nur schwer vorstellen, daß etwa ein Anwalt, der seine liebe Not mit der Elektronisierung seines eigenen Büros hat, sich in den komplexen EDV-Anwendungen größerer Unternehmen zurechtfindet. Er kann zwar das Mandat übernehmen, darf aber wohl nicht erwarten, ins Unternehmen wirklich ernst genommen zu werden und nachhaltig seinen Pflichten als Datenschutzbeauftragter zu genügen. Natürlich geht es auch um Rechtskenntnisse. Aber ohne technische Vorkenntnisse beziehungsweise technisches Verständnis und die Fähigkeit zum Durchschauen komplexerer Organisationen läßt sich Datenschutz nicht verwirklichen.
Voraussichtlich ab 1. Juli 1991 wird die Aufsichtsbehörde die Befugnis haben, Datenschutzbeauftragte auf ihre Fachkunde zu überprüfen und sie bei fehlender Fachkunde oder Zuverlässigkeit abzuberufen. Dies kann durchaus auch einem als externen Datenschutzbeauftragten bestellten Rechtsanwalt passieren, wenn sich dessen Kenntnisse als unzureichend erweisen sollten. Ob es dem Ruf des jeweiligen Anwalts guttut, er mangels Kompetenz abberufen wird? Vor allzuviel Blauäugigkeit sei daher dringend gewarnt.
Ein anderer Gesichtspunkt ist der für die ordentliche Erfüllung der Aufgaben eines Datenschutzbeauftragten notwendige Zeitbedarf. Dessen Umfang läßt sich in etwa daran ablesen, wieviel Zeit den internen Datenschutzbeauftragten für ihr Amt zur Verfügung steht. Nach Schätzungen innerhalb der GDD-Erfa-Organisation kann man davon ausgehen, daß rund die Hälfte der betrieblichen Datenschutzbeauftragten mit 50 Prozent ihrer regulären Arbeitszeit bestellt werden; ein Viertel der betrieblichen Datenschutzbeauftragten benötigt weniger Zeit, ein weiteres Viertel dagegen bis zu 100 Prozent der Arbeitszeit. Dies läßt erkennen, daß Anwälte, die als externe Datenschutzbeauftragte tätig sind, einen nicht zu unterschätzenden Teil ihrer Zeit außerhalb ihrer Büros in den jeweiligen Firmen verbringen müßten. Ob dies einer Kanzlei auf Dauer zuträglich ist, sollte zumindest kritisch geprüft werden.
Sehr gewagt erscheint die These, daß ein externer Datenschutzbeauftragter praktisch unkündbar sei. Schon für den internen Datenschützer ist dies - auch nach neuem Recht mehr als fraglich. Bestellung und Abberufung sind vielmehr Maßnahmen der Geschäftsleitung, die unabhägig von dem Fortbestehen des Arbeitsverhältnisses getroffen werden. Dies gilt erst recht für einen "Externen". Es wäre natürlich schön, wenn ein einmal eingegangenes Mandat nie wieder kündbar wäre. Allerdings dürfte diese anwaltsfreundliche Konstruktion weder im Markt noch vor deutschen Gerichten Bestand haben.
Den gutgemeinten Ratschlägen an die Adresse der Anwaltschaft fehlt aber auch ein Hinweis auf das gravierendste Problem, welches sich dem Anwalt stellt, der als externer Datenschutzbeauftragter tätig werden will. Es ist das enorme Haftungsrisiko. Im Gegensatz zum betrieblichen Datenschutzbeauftragten, dessen Arbeit in einigen Publikationen als gefahrgeneigte Tätigkeit betrachtet wird, und der deshalb möglicherweise nur noch eingeschränkt haftet, würde den Rechtsanwalt das Haftungsrisiko mit voller Wucht treffen. Dieses Haftungsrisiko wird sich weniger im Bereich der Rechtsberatung verwirklichen, obwohl die Datenschutzgesetze teilweise weite Auslegungsspielräume lassen und damit eine Rechtsprechung zu Lasten des Beraters durchaus denkbar ist.
Die größere Gefahr liegt in Mängeln bei der Datenverarbeitung, die vom externen Beauftragten nicht erkannt werden und die eine Rufschädigung des Unternehmens auslösen können. Daß dies auch zu einer Rufschädigung des Beraters und zu Ersatzforderungen führen kann, liegt auf der Hand. Ob und inwieweit hierfür die anwaltliche Haftpflichtversicherung eintreten wird, ist fraglich, zumal dann, wenn der Anwalt sich bei Eingebung des Mandats überschätzt und aus eigenem Verschulden nicht in der Lage ist, die Datenflüsse im Unternehmen wirklich zu kontrollieren.
Datenschutz ist jetzt und in Zukunft für die Anwender in der Wirtschaft eine zu wichtige und heikle Materie, als daß man sie auf die leichte Schulter nehmen könnte. Bei aller Anerkennung des Versuchs, die in vielen Bereichen unbestreitbare Sachkompetenz des Rechtsanwalts hervorzuheben, ist es gleichwohl richtig, die Grenzen des Möglichen dabei nicht aus den Augen zu verlieren. Zweifellos gibt es eine Reihe von Anwälten, die sich hervorragend als externe Datenschutzbeauftragte eignen. Die ganz große Mehrheit jedoch würde sich falsche Hoffnungen machen und beträchtliche Risiken eingehen, würde sie die vorgeschlagenen Rezepten unbesehen befolgen und sich als Externe andienen. Allerdings gelten für Informatiker ähnliche Gesichtspunkte.
Reichlich gewagt und überheblich erscheint die These, daß man sich die notwendigen Rechtskenntnisse sozusagen im Schnellkurs aneignen könne. Wer solches äußert, läuft Gefahr, als jemand zu gelten, der die Dimension der fachspezifischen juristischen Anforderungen nicht erfaßt. Nicht eben selten bedarf es langer und ausführlicher Rechtsgutachten, um sicherzustellen, daß EDV-Verfahren datenschutzgerecht und gesetzmäßig eingerichtet werden - eine Aufgabe für ausgewiesene Fachleute und nicht für die durchweg mit ganz anderen Fragen befaßte Rechtsabteilung.
Aus der langjährigen Praxis eines Verbandes, dessen Mitglieder EDV-Anwender im nicht-öffentlichen Bereich und ihre Datenschutzbeauftragte sind, läßt sich das Fazit ziehen, daß sich neben Informatikern ebensogut Juristen, Kaufleute oder Organisatoren als betriebliche Datenschutzbeauftragte bewährt haben. Entscheidend für die Ausübung dieser verantwortungsvollen Position ist nicht in erster Linie die berufliche Vorbildung. Gefragt sind vielmehr - ob als Interne oder als Externe - erfahrene und durchsetzungsfähige Praktiker mit fundierten Betriebskenntnissen.