DÜSSELDORF (ee) - Zwei der brisantesten Themen des dreitägigen DSB-Kongresses in Düsseldorf beschäftigten sich mit dem gleichen Thema: mit den Verwaltungsvorschriften, nach denen die Aufsichtsbehörden die Anwendung des Datenschutzgesetzes kontrollieren und auslegen wollen. Während Dr. Werner Ruckriegel, Leitender Ministerialrat im Innenministerium des Landes Nordrhein-Westfalen, ausschließlich zum Thema "Richtlinien für die Datenschutz-Aufsicht" sprach, ermunterte Rechtsanwalt Horst Wittek, Syndikus der Deutschen Lufthansa AG, die Zuhörer in seinem Vortrag "Datenschutz-Aufsicht aus der Sicht der Wirtschaft", die Verwaltungsvorschriften kritisch anzuwenden. Wittek: "Die peinliche Befolgung der Verwaltungsvorschriften ist nicht unbedingt mit absoluter Gesetzeskonformität gleichzusetzen." Hier die gekürzten Vorträge.

Richtlinien für die Datenschutz-Aufsicht

Als der Bundesgesetzgeber den Länderbehörden die Aufsicht über die privaten Normadressaten des Bundesdatenschutzgesetzes übertrug, folgte er dem in Art. 30 GG niedergelegten Verfassungsgrundsatz, nach dem "die Ausübung der staatlichen Aufgaben," grundsätzlich Sache der Länder ist. Obwohl sich der Gesetzgeber bei der Beratung des BDSG im Innenausschuß der Mitarbeit zweier Sachenverständiger der Länder bediente, dürfte er kaum in der Lage gewesen sein, die ganze Fülle der Koordinierungsproblematik zu überschauen, die sich für die Länder aus dieser Aufgabenzuweisung ergab.

Zu dem unvorhergesehen großen Bündel abstimmungsbedürftiger Probleme gehörte zunächst die Frage, wo die den Ländern übertragene Aufsicht über den Datenschutz bei privaten Stellen "ressortieren" sollte. Daß die Entscheidungen der Länderregierungen ein fast übereinstimmendes Ergebnis hatten, ist schon ein - gar nicht so selbstverständlicher und auch nicht ohne Schwierigkeiten erzielter - Erfolg: In allen Bundesländern mit Ausnahme Hamburgs (wo die Behörde für Wirtschaft Verkehr und Landwirtschaft zuständig ist) und Bremens (wo die Aufsicht über den privaten Bereich mit der über den öffentlichen Bereich gekoppelt ist und bei der Senatskanzlei angesiedelt wurde) sind die Innenminister oberste Aufsichtsbehörde für den Datenschutz im Rahmen des 3. und 4. Abschnitts des BDSG.

In einigen Ländern ist die oberste Aufsichtsbehörde identisch mit der Aufsichtsbehörde nach °° 30/40 BDSG, nämlich - selbstverständlich - in den Stadtstaaten, aber auch in Baden-Württemberg, im Saarland und in Schleswig-Holstein. In den anderen Bundesländern beschränken sich die Innenminister als oberste Aufsichtsbehörden auf zentrale, grundsätzliche Fragen, auf Weisungen an die Aufsichtsbehörden, auf die Vorgabe von Richtlinien wie diejenigen, über die hier noch zu sprechen sein wird.

Anlage: Übersicht über die obersten Aufsichtsbehörden und die Aufsichtsbehörden für den nicht-öffentlichen Bereich.

Die unmittelbaren Aufsichtsaufgaben sind in diesen Ländern den Regierungspräsidenten beziehungsweise den Bezirksregierungen übertragen.

Der Inhalt der Aufsicht

Nach dem BDSG haben die Aufsichtsbehörden unterschiedliche Aufgaben, je nachdem, ob der 3. oder der 4. Abschnitt des BDSG Anwendung findet:

Im Rahmen der sogenannten "Anlaß-" oder "Einzelfallaufsicht" des 3. Abschnitts werden die Aufsichtsbehörden tätig überprüfend, wenn ein Betroffener eine Rechtsverletzung begründet darlegt, unterstützend, wenn der Unternehmensbeauftragte für den Datenschutz sich an sie wendet. Im Rahmen des 4. Abschnitts handelt es sich um ständige Aufsicht.

Im heutigen Staatsaufsichts-Begriff hat insbesondere die Beratungsfunktion neben den sonst im Vordergrund stehenden Durchgriffs- und Sanktionsrechten größere Bedeutung erlangt. Im BDSG selbst ist diese Beratungsfunktion allenfalls im ° 30 Abs. 1 Satz 2 angesprochen, nach dem die Aufsichtsbehörde den Datenschutzbeauftragten zu unterstützen hat. Aber auch ohne jede Erwähnung im Gesetzestext wäre die Beratungsfunktion dem gewandelten Staatsaufsichts-Begriff immanent.

Dennoch ist davor zu warnen, die so gewandelte Staatsaufsicht, als "Staatsnachsicht" mißzuverstehen. Das BDSG sieht immerhin eine Reihe von Sanktionen deren Anwendung die Aufsichtsbehörde sehr schnell wieder in die Rolle einer hoheitlich agierenden Durchsetzungsinstanz versetzt. Fast alle Aufsichtsbehörden der Länder sind inzwischen zu zuständigen Verwaltungsbehörden im Sinne des ° 36 Abs. 2 Ordnungswidrigkeitengesetz erklärt und damit in die Lage versetzt worden, Geldbußen bis zu DM 50 000,- demjenigen aufzuerlegen, der vorsätzlich oder fahrlässig seine Pflicht verletzt zur

-Benachrichtigung des Betroffenen

-Bestellung eines Beauftragten für den Datenschutz

- Aufzeichnung der Gründe für das Vorliegen eines berechtigten Interesses an der Datenübermittlung und der Mittel für ihre glaubhafte Darlegung

-Meldung an die Aufsichtsbehörde

-Auskunft an die Aufsichtsbehörde und Duldung der Kontrollmaßnahme.

Damit haben die Aufsichtsbehörden bereits ein wichtiges Instrument zur Unterstützung ihrer Arbeit und zur Durchsetzung der Ziele des BDSG erhalten, wenn auch ein nur auf wenige Tatbestände beschränktes.

Zusätzlich hinzuweisen ist auf die Tätigkeit und die auch aus dem Datenschutz herzuleitenden Maßnahmen anderer Aufsichtsbehörden. Das Verhältnis der Aufsichtsbehörden nach dem BDSG zu diesen anderen Aufsichtsbehörden ist auch Gegenstand der Erörterungen des "Düsseldorfer Kreises".

Zusammenarbeit der Aufsichtsbehörden

Nach der (fast einheitlichen) Festlegung der Zuständigkeit ist die Abstimmung vor allem materiell-rechtlicher Fragen des BDSG, die einheitliche Auslegung und Anwendung seiner Bestimmungen das eigentliche, zentrale Koordinierungsproblem der Datenschutzaufsicht.

Einzelergebnisse

Es gelang bisher, zahlreiche Einzelfragen einheitlich zu beantworten.

So halten es die Aufsichtsbehörden zum Beispiel übereinstimmend für unzulässig, wenn die in ° 34 Abs. 1 BDSG vorgeschriebene Benachrichtigung des Betroffenen über die Speicherung seiner Daten mit einer Erhebung neuer oder weiterer Daten so verbunden wird, daß bei dem Betroffenen der Eindruck entsteht, als habe er nach dem BDSG nicht nur einen Anspruch auf Benachrichtigung, sondern zugleich auch die Pflicht zur Aktualisierung und Ergänzung seiner Daten. Federführend für alle Aufsichtsbehörden hat deshalb der nord-rhein-westfälische Innenminister dieses Verfahren beanstandet und eine eindeutige "Entkopplung" der beiden Vorgänge verlangt.

Übereinstimmend vertreten die Aufsichtsbehörden auch die Auffassung, daß die in Darlehensverträgen der Banken, in Versicherungsverträgen und so weiter enthaltenen Klauseln über die Weitergabe der Daten des Betroffenen an Dritte (etwa an die Schufa) sorgfältig daraufhin geprüft werden müssen, welche Funktion sie haben. Erschöpft sich ihre Bedeutung darin, dem Betroffenen lediglich "auf andere Weise" Kenntnis von der Speicherung seiner Daten auch durch den Dritten zu geben und diesem Dritten so die Benachrichtigung zu ersparen, werden geringe Anforderungen an die Vertragsklausel zu stellen sein als in den Fällen, in denen sie als "Erklärung der Einwilligung" in die Datenübermittlung anzusehen ist.

Ein besonders schwieriges Problem, zu dem die Länderreferenten Stellung genommen haben, ist die datenschutzrechtliche Stellung des Betriebsrates. Seine Qualifizierung als Teil der speichernden Stelle hätte Eingriffe des Unternehmens in den Bereich des Betriebsrates zur Folge (insbesondere Einwirkungen des der Geschäftsführung unmittelbar unterstellten Datenschutzbeauftragten, Durchgriff auf die Daten des Betriebsrats bei Auskunftbegehren von Betroffenen und so weiter) die mit der Stellung des Betriebsrats nach dem Betriebsverfassungsgesetz schwerlich in Einklang zu bringen wären. Auf der anderen Seite ist es nicht unproblematisch, den Betriebsrat im Verhältnis zum Unternehmen als Dritten anzusehen, daß heißt, ihn als speichernde Stelle zu betrachten und damit zum unmittelbaren Adressaten der Rechte und Pflichten nach dem BDSG zu machen. Gleichwohl haben sich die Länderreferenten zunächst auf diesen geeinigt. Sie sind sich aber darüber im klaren, daß diese schwierige weiteren Vertiefung bedarf.

Abgrenzung zwischen 3. und 4. Abschnitt

Bekanntlich unterliegt die Datenverarbeitung für eigene Zwecke den Regelungen des 3., die Datenverarbeitung für fremde Zwecke denen des 4. Abschnitts. Diese Unterscheidung und Entscheidung des Gesetzgebers gilt auch, wenn ein Unternehmen teils Datenverarbeitung für eigene, teils Datenverarbeitung für fremde Zwecke betreibt. Das Unternehmen unterliegt folglich dann hinsichtlich des Teils der Datenverarbeitung, die für eigene Zwecke erfolgt, dem 3. Abschnitt, hinsichtlich der Datenverarbeitung für fremde Zwecke dem 4. Abschnitt des BDSG. An dieser Schlußfolgerung - die sich im übrigen auch aus dem Wort "soweit" in den drei Alternativfällen des ° 31 Abs. 1 ergibt - ändert sich grundsätzlich auch dann nichts wenn die Datenverarbeitung für fremde Zwecke geringfügig ist und hinter der Datenverarbeitung für eigene Zwecke fast völlig zurücktritt.

Die Aufsichtsbehörden sehen hier nur zwei Ansatzpunkte, von denen aus man zu dem Ergebnis gelangen kann, bei nur geringfügiger Fremd-Datenverarbeitung die Anwendung des 4. Abschnitts auszuschließen: Es sind dies die Begriffe "geschäftsmäßig" und "als Dienstleistungsunternehmen".

Diese beiden Ansätze - und keine anderen - bietet das Gesetz in den drei Anwendungsfällen des ° 31 Abs. 1 selbst; die Prämisse "geschäftsmäßiger" Datenverarbeitung gilt für alle drei, die Voraussetzung geschäftsmäßiger Datenverarbeitung im Auftrag "als Dienstleistungsunternehmen" wird im Fall Nr. 3 zusätzlich genannt.

Der Begriff "Dienstleistungsunternehmen" 'in ° 31 Abs. 1 Nr. 3 muß um den Zusatz "Dienstleistungsunternehmen der Datenverarbeitung" ergänzt werden. In dieser Zusammensetzung "DV-Dienstleistungsunternehmen" ist dieser Begriff - soweit ersichtlich - in die Rechtssprache bisher noch nicht eingegangen; er ist juristisch noch nicht definiert.