KÖLN - Im Verlauf eines mit den Mitteln des Ministers für Wissenschaft und Forschung des Landes Nordrhein-Westfalen geförderten Forschungsprojektes wurde im Oktober 1979 vom Betriebswirtschaftlichen Institut für .Organisation und Automation an der Universität zu Köln (BIFOA) eine empirische Befragung zum Themenkreis "Datenschutz und Datensicherung" durchgeführt. Die Ergebnisse stehen jetzt fest; die Autoren legen im folgenden ihre Interpretation vor.
Die unter dem Titel "Audafest-Datenschutzbefragung" bekanntgewordene Untersuchung erzielte einen Nettorücklauf von 1489 Fragebogen. Die Zusammensetzung der Stichproben ergibt folgendes Bild:
Eine gewisse Einschränkung der Repräsentativität der Gesamtheit datenverarbeitender Stellen (Kleinunternehmungen und manuelle Datenverarbeitung sind unterproportional enthalten) wurde bereits beim Unterlagenversand bewußt herbeigeführt, um mit den zur Verfügung stehenden Mitteln eine möglichst große Repräsentativität für die anderen Klassen zu erreichen.
Im folgenden werden ausgewählte Einzelergebnisse der Befragung kurz dargestellt. Dieser erste Teil der Veröffentlichung erhält den Schwerpunkt "Datenschutz".
Der betriebliche Datenschutzbeauftragte
Als gut zu bezeichnen ist, daß bis zum gesetzlich festgelegten Termin knapp 60 Prozent (bis Ende 1977 mehr als 75 Prozent) der betrieblichen Datenschutzbeauftragten (bDSB) bestellt waren, zumal eine Reihe der erfaßten datenverarbeitenden Stellen erst später aufgrund der Einführung automatisierter Datenverarbeitungsverfahren beziehungsweise Erhöhung des Personaleinsatzes zur Bestellung verpflichtet war.
Besonders hervorzuheben ist, daß drei Prozent der erfaßten datenverarbeitenden Stellen einen betrieblichen Datenschutzbeauftragten bestellten ohne gesetzlich dazu verpflichtet zu sein. Die besondere Sorgfalt dieser Unternehmungen zeigt sich auch in anderen Fällen, wo diese Gruppe signifikant häufig im positiven Teil der Stichprobe vertreten war.
Die anfängliche Befürchtung, die Stelle des betrieblichen Datenschutzbeauftragten werde zu einem Altersruhesitz degradiert, bewahrheitete sich nicht: 90 Prozent sind jünger als 55 Jahre und das Schwergewicht liegt zwischen 36 und 40 Jahre.
Auf den ersten Blick erstaunlich ist, daß als Grundlage der Auswahl eines Mitarbeiters zum bDSB nur in 50,8 Prozent der Fälle ein ausgearbeitetes Anforderungsprofil bestand.
Das kann jedoch damit zusammenhängen, daß der Ausgewählte in 75 Prozent der Fälle bereits seit mindestens sechs Jahren Mitarbeiter der datenverarbeitenden Stelle war; die Zahl speziell für diesen Posten Eingestellter von 3,9 Prozent zeigt ebenso wie der geringe Anteil externer Datenschutzbeauftragter von 7 Prozent, daß überwiegend auf bereits bewährte Mitarbeiter gesetzt wurde. Das wird dadurch bestätigt, daß in 17 Prozent notwendiger Fälle einer Auswechslung des bDSB nicht ausreichende Qualifikation nur in 6,4 Prozent der Anlaß war, dagegen in mehr als 27 Prozent das Hauptamt "EDV-Leiter". Die 37, l Prozent der Auswechslung des bDSB aufgrund Ausscheidens des betreffenden Mitarbeiters kann auf die in zahlreichen Veröffentlichungen hingewiesenen innerbetrieblichen Probleme des bDSB in bezug auf Einordnung, Durchsetzung etc. hinweisen.
Bei den zu 96,8 Prozent nebenamtlichen Datenschutzbeauftragten macht diese Aufgabe im überwiegenden Teil (76,8 Prozent) nicht mehr als 10 Prozent der Arbeitsbelastung aus. Es zeigen sich jedoch nach eigener Einschätzung in nur 18,8 Prozent der Fälle "theoretische" Interessenskonflikte, obwohl mehr als 23 Prozent der bDSB Leiter-EDV, 7,5 Prozent Programmierer und 10,1 Prozent Leiter der Organisation sind. Der Trend, den bDSB aus den Reihen der Innenrevision zu wählen, ist deutlich daran zu erkennen, daß diese Hauptaufgabe bereits an zweiter Stelle (17,9 Prozent) hinter dem Leiter-EDV genannt wird.
Während die Spitzenstellung des Leiter-EDV bei kleineren Unternehmungen aufgrund verschiedener betriebswirtschaftlicher Notwendigkeiten nicht vermeidbar erscheint, muß doch erhebliches Bedenken geäußert werden, daß dies in 35,3 Prozent der erfaßten Unternehmungen mit mehr als 5001 Beschäftigten, in 30,8 Prozent mit 251 bis 1000 und noch zu 14 Prozent in einer Betriebsgrößenordnung von 1000 bis 5000 Beschäftigten der Fall ist.
Unter welch schwierigen Umständen der bDSB teilweise seine Aufgaben zu erfüllen hat, kann daran gemessen werden, daß ihm in nur 2,6 Prozent der Fälle ein eigenes Budget und in nur 13,5 Prozent Mitarbeiter zur Verfügung stehen.
Aufgaben des bDSB
Zu den in Paragraph 29 BDSG aufgeführten Aufgaben des bDSB wurden im Rahmen der Erhebung Fragen gestellt (1) zur Schulung der Mitarbeiter, (2) der Datenübersicht und (3) ordnungsgemäßen Anwendung der DV-Programme.
2.1 Schulung der Mitarbeiter
Auf die Frage, ob Mitarbeiter in speziellen Veranstaltungen mit Fragen des Datenschutzes vertraut gemacht wurden, antworteten nur knapp 40 Prozent mit "Ja". Dabei muß jedoch berücksichtigt werden, daß es sich um eine ungewichtete Prozentangabe handelt. Wird diese Frage in bezug zur Größenklasse gesetzt, so ergibt sich, daß dieses unzureichende Ergebnis in erster Linie durch kleine und mittlere Unternehmungen hervorgerufen wird.
So wurden in Unternehmungen bis zehn Mitarbeitern nur 14,6 Prozent geschult, bei elf bis 250 nur 23,6 Prozent und bei 251 bis 1000 Mitarbeitern bereits 44,7 Prozent. Großunternehmungen schulten dagegen intensiv, so die mit 1001 bis 5000 Mitarbeiter zu 67,6 Prozent und die mit mehr als 5001 schulten zu 84,9 Prozent.
Eine eindeutigere Aussage läßt sich bezogen auf den Prozentsatz der geschulten Mitarbeiter machen. Hier zeigen die verschiedenen Besetzungen, daß vorgenommene Schulunger überwiegend bereichsbezogen ange legt waren, das heißt sich nur auf die mit personenbezogenen Daten arbeitenden Mitarbeiter beschränkten.
Der Vorschrift Genüge getan
Das Schwergewicht der Schulungsdauer lag bei maximal zwei Stunden Hierdurch wurde der gesetzlicher Vorschrift zwar Genüge getan, ein Verständnis für Datenschutzprobleme oder Schutz der datenverarbeitender Stelle vor Fehlhandlungen der Mitarbeiter konnte sicher nur selten erreicht werden. Jedoch muß hier berücksichtigt werden, daß zum Zeitpunkt der Erhebung zahlreiche Gene ralklauseln des bDSB noch nicht eindeutig definiert beziehungsweise operationalisiert waren. Einzelne, an der Audafest-Datenschutzbefragung beteiligte datenverarbeitende Stellen gaben auf entsprechende Nachfrager Anfang 1980 an, daß sie nach Vorliegen der harmonisierten Verwaltungsvorschriften gezielte Schulungen bereits durchgeführt beziehungsweise vorbereitet hatten.
Die im Zusammenhang mit der Schulung zu sehende Verpflichtung der in der personenbezogenen Datenverarbeitung tätigen Mitarbeiter gemäß Paragraph 5 BDSG zeigt erwartungsgemäß, daß überwiegend die EDV-Abteilung (77 Prozent), Personalabteilung (69,9 Prozent), Buchhaltung (62,3 Prozent) und die Verwaltung verpflichtet wurden. Die in einigen Veröffentlichungen zur Exkulpation vorgeschlagene Verpflichtung aller Mitarbeiter wurde nur in geringem Maße vorgenommen. Zu den 35,6 Prozent der erfaßten datenverarbeitenden Stellen, die noch keine Mitarbeiter verpflichtet hatten, ist anzumerken, daß dieser relativ hohe Prozentsatz in erster Linie durch den Teil beeinflußt wurde, der keinen bDSB bestellt hatte (67,1 Prozent), während nur zu 15,7 Prozent der bDSB diese Aufgabe noch nicht angegangen hatten.
Während 10,6 Prozent der Unter nehmungen keine schriftliche Bestätigung der Verpflichtung verlangten wurde sie zum größten Teil (76,4 Prozent) von allen Mitarbeitern ohne Probleme gegeben, starker Widerstand war nur in 4,1 Prozent bemerkbar.
2.2 Daten- und Dateienübersicht
Mit der Forderung nach einer Übersicht über die Art der gespeicherten personenbezogenen Daten hat der Gesetzgeber den datenverarbeitenden Stellen und insbesondere den betrieblichen Datenschutzbeauftragten eine nur sehr schwer zu lösende Aufgabe gestellt.
Eine wesentliche Grundlage zur Erfüllung dieser Aufgabe ist das Vorhandensein einer klaren Belegorganisation. Bereits hiermit kann festgestellt und dokumentiert werden, welche Daten woher stammen, wo sie zur Verarbeitung benötigt werden und zu welchen internen und/oder externen Empfängern sie gelangen (wobei intern im Sinne des BDSG bei der Aufgabenerfüllung keine "Empfänger" aufgrund des fehlenden Tatbestandes der Datenübermittlung existieren).
Belegorganisation vorhanden?
Von 67,8 Prozent der im Rahmen der Befragung erfaßten datenverarbeitenden Stellen wurde die Frage nach dem Bestehen einer klaren Belegorganisation bejaht; dabei steigt der entsprechende Anteil von 45,8 Prozent bei Kleinbetrieben bis zu 87,5 Prozent in Großunternehmungen. Bei der Beurteilung sind sich dagegen die meisten (80,7 Prozent) einig: Sie bezeichnen die Qualität der Belegorganisation als sehr gut (34,5 Prozent) oder befriedigend (46,2 Prozent). Gänzlich ungenügend wurden von nur 4,6 Prozent angegeben. Wird dieses Qualitätsurteil in Abhängigkeit von Unternehmungsgröße und Komplexität des eingesetzten Datenverarbeitungsverfahrens gesehen, so ist ein eindeutiger Trend sichtbar: Je größer die Unternehmung und komplexer die Datenverarbeitung desto geringer der Anteil "sehr gut".
In den Fällen, wo für vertrauliche (sensible) Belege eine Belegflußkontrolle durchgeführt wird, wurde von 19,5 Prozent angegeben, daß der Belegverlauf vollständig und von 30,5 Prozent mit kleinen Mängeln nachprüfbar ist.
Die von einigen Autoren vertretene dagegen von der überwältigenden Mehrheit der Praktiker angezweifelte These, daß sich im Zusammenhang mit BDSG-Aktivitäten Rationalisierungserfolge erzielen lassen, kann an einem Beispiel der Belegorganisation gezeigt werden.
In den Fällen (70,2 Prozent), wo im Rahmen der Belegorganisation beziehungsweise Abgangskontrolle eine Überprüfung der in der datenverarbeitenden Stelle vorhandenen Datenträger (Formulare etc.) vorgenommen wurde, konnte in 25,1 Prozent eine Reduzierung vorhandener Datenträger und gar zu 71,1 Prozent ein direkterer und einfacherer (und damit schnellerer) Datenträgerumlauf erzielt werden. Ohne Ergebnis blieb eine solche Untersuchung nur in 1,1 Prozent der Fälle!
Rationalisierungspotential erkannt
Es kann das Fazit gezogen werden, daß zahlreiche Unternehmungen und ,stellen öffentlicher Verwaltung dieses Rationalisierungspotential erkannt und genutzt haben.
Bei der Klassifizierung der vertraulichen (sensiblen) Daten und der mit diesen arbeitenden Mitarbeitern bestanden zum Zeitpunkt der Erhebung noch große Lücken.
So bestanden in den Fällen, wo eine Datenklassifikation vorgenommen worden war, in nur knapp 65 Prozent darüber Aufzeichnungen, wodurch ein einheitliche Klassifizierung nur sehr schwer sein dürfte. Jedoch zeigt sich auch hier, daß der Anstoß durch das BDSG für interne Ziele der DV-Stelle weiterverfolgt wurde, da mehr als die Hälfte der erstellten Aufzeichnungen nicht nur auf die den bDSB unterliegenden Daten beschränkt blieb.
Die Sensibilitätsklassen wurden, in diesem Zusammenhang naheliegend, zu 74 Prozent anhand der Kriterien "personenbezogen/neutral" oder "intern/extern" vorgenommen. Daraus folgt, daß 31,7 Prozent ein bis zwei und 53,3 Prozent drei bis vier Sensibilitätsklassen bildeten, die 30,6 Prozent mit einer beispielhaften Darstellung charakterisiert wurden. Die Durchführung der Klassifizierung lag überwiegend in den Händen des bDSB und des Leiters der entsprechenden Fachabteilung.
Wurde eine der Datenklassifikation analoge Klassifizierung vorgenommen, so mußten in mehr als der Hälfte der Fälle speziell erhobene Ist-Aufzeichnungen herangezogen werden, obwohl zu 48,6 Prozent vorliegende Arbeitsplatzbeschreibungen Hauptgrundlage waren.
In Abhängigkeit von Daten- und Mitarbeiterklassifizierungen entwickelten mehr als die Hälfte der entsprechenden Unternehmungen und Stellen der öffentlichen Verwaltung ein spezielles Berechtigungsschema. Die Berechtigungen bezogen sich auf Datenklassen und/oder Funktionen: reine Eingabe zu 71,9 Prozent und Veränderung zu 66,7 Prozent.
Dabei erstreckte sich die Berechtigung überwiegend auf die vollständige Datei (75,4 Prozent), aber auch Berechtigungen für nur einzelne Datenfelder waren bemerkenswert häufig.
Die Dokumentation der Klassifizierung umfaßte die Herkunft der Daten zu 45 Prozent, die Angabe des jeweils befugten Mitarbeiterkreises zu 58,3 Prozent und zu 44,3 Prozent der regelmäßigen externen Empfänger.
2.3 Ordnungsgemäße Anwendung der DV-Programme
Zahlreiche Fragen aus diesem Bereich sind von denen der Datensicherung aus Eigeninteresse der datenverarbeitenden Stelle nicht zu trennen.
Da der bDSB jedoch auch hierfür verantwortlich ist, hat er bestimmte organisatorische (und eventuell technische) Maßnahmen zu veranlassen. Eine in der Audafest-Datenschutzbefragung gestellte Frage bezog sich auf die Trennung der Funktionen im Rahmen der Programmerstellung.
Programmpflege als Gefahrenquelle
Hierbei zeigte sich, daß zu einem Großteil (55,8 Prozent) die direkte Programmerstellung von weiteren Phasen getrennt ist, in knapp einem Viertel sogar von der Programmcodierung. Daß die Programmpflege sehr häufig in der Hand des Programmautors liegt, ist zwar weitgehend üblich, stellt jedoch eine gewisse Gefahrenquelle dar. Diese kann nur klein gehalten werden, wenn eine ordnungsgemäße Programmfreigabe und wirkungsvolle Programmtests durchgeführt werden.
Um eine Programmfreigabe zu formalisieren und damit leichter nachvollziehbar werden zu lassen, sind von den auf diese Frage antwortenden datenverarbeitenden Stellen zu knapp 63 Prozent Programmrichtlinien, zu 64,2 Prozent -aufträge und zu 79,1 Prozent Dokumentationsrichtlinien erlassen beziehungsweise eingeführt worden.
Bemerkenswert ist, daß für den Programmtest ein großer Teil (60,6 Prozent) einen Ausschnitt echter Daten heranzieht, trotz der damit verbundenen Gefahren. Andererseits wird unter organisatorischen Problemen von mehr als 40 Prozent eine Abgrenzung von Test- und Routinebetrieb durchgeführt, um damit eine höhere Datensicherheit zu gewährleisten.
Ebenso der Sicherheit vor unbefugter Kenntnisnahme sensibler Daten dienen interne Aufrufbezeichnungen der in einer Programmbibliothek gespeicherten Programme, sofern sie nicht sprechend sind: Dieses trifft auf mehr als die Hälfte der Fälle zu. Als diese Sicherheit einschränkend muß jedoch gewertet werden, daß die Aufrufbezeichnungen in zwei Drittel der Fälle bekannt sind.
Zur Kontrolle des Verarbeitungsablaufes werden zum überwiegenden Teil Auswertungen von Eingabe- und Fehlerprotokollen herangezogen. Vergleichsweise selten sind Statistiken über Fehler im Operating (maximal 19,2 Prozent).
Obwohl 61,4 Prozent die Qualität ihrer Programmdokumentation (nur) als "brauchbar" bezeichnen, erfolgt in 56 Prozent eine Dokumentation der Testergebnisse, zu 64,5 Prozent die Definition der Schnittstellen und Verknüpfungen der Programme und an gesprochener Dateien und zu genau zwei Drittel eine ausführliche Dokumentation der Programm-Modifikation.
Nach Paragraph 26 BDSG ist der Betroffene zu benachrichtigen, wenn erstmals Daten über ihn gespeichert werden. Dieser Pflicht waren zum Zeitpunkt der Erhebung 27,7 Prozent nachgekommen.
Dieser auf den ersten Blick geringe Prozentsatz muß jedoch unter dem Aspekt der im Gesetz gegebenen Einschränkungen gesehen werden. So ist die Benachrichtigung nur bei erstmaliger Speicherung erforderlich, somit nicht bei jeder weiteren. Handelt es sich ferner um Altdaten, die bereits vor Inkrafttreten des BDSG gespeichert waren, so muß erst benachrichtigt werden, wenn die Daten erstmals nach Inkrafttreten des Gesetzes übermittelt werden. Auch ist eine spezielle Benachrichtigung nicht erforderlich wenn der Betroffene "auf andere Weise Kenntnis von der Speicherung erlangt hat".
Im Hinblick auf die Zahl der Benachrichtigten zeigt sich eine relative Gleichverteilung auf die einzelnen Klassen. Vorgenommene Auswertungen in bezug zum DV-Verfahren, zur Branche und der Größe der DV-Stelle zeigten die erwarteten Ergebnisse. So waren die Zahlen um so größer, (1) je komplexer das DV-Verfahren, (2) je häufiger der Kunden-/Klientenwechsel und (3) je größer die datenverarbeitende Stelle.
Da die Benachrichtigung vom Gesetzgeber nicht an eine bestimmte Form gebunden wurde, hat sich die für die Benachrichtigenden kostengünstige Art als Aufdruck auf Lieferscheine beziehungsweise Rechnung durchgesetzt (60,7 Prozent), obwohl zum Teil ergänzend fast die Hälfte direkte Mitteilungen (ohne Übersicht über die gespeicherten Daten) versandten.
Auskunft wollten nur wenige
Die Frage nach der Anzahl der Personen, die von ihrem Recht nach Paragraph 26 Absatz 2 BDSG auf Auskunft über gespeicherte Daten Gebrauch machten, brachte eine der größten Überraschungen. Werden die Protokolle der Hearings und Expertensitzungen diesbezüglich rekapituliert und die Warnungen oder Befürchtungen in den meisten Veröffentlichungen betrachtet, so mußte mit einer Flut derartiger Auskunftsersuchenden gerechnet werden. Von 1489 datenverarbeitenden Stellen, die sich an der Audafest-Datenschutzbefragung beteiligten, hatten nur ganze 64 mehr als zehn Auskunftsersuchen, knapp zwei Drittel der Stichprobe nicht einmal eine Auskunft zu erteilen.
Dieses Ergebnis zeigt einmal, auf welcher hypothetischen Grundlage Großteile der Datenschutz-Diskussion geführt wurde, aber auch, wie sehr das akute Bedürfnis nach einem solchen, die "Persönlichkeitssphäre des Bürgers schützenden" Gesetz überschätzt wurde.
Enorme Fehleinschätzung
Hier kann nur gehofft werden, daß die teilweise auf 100 Anfragen pro Tag (und mehr) ausgelegten Routinen auch zu anderen betrieblichen Zwecken genutzt werden können, um nicht eine Fehlinvestition darzustellen, die für andere Maßnahmen abschreckend wirkt. Durch diese enorme Fehleinschätzung kann der Datenschutz-Bereitschaft ein entscheidender Schlag versetzt worden sein.
Die Auskunftsersuchenden waren zudem überwiegend (62,8 Prozent) eigene Mitarbeiter der jeweiligen DV-Stelle. Hierbei kann vermutet werden daß ein Teil dieser Anfragen weniger auf Datenschutzmotive begründet war, sondern als Versuch zu sehen ist Einblick in vermutete "geheime Personaldateien" zu bekommen. Diese Erklärung wird auch dadurch `gestützt, daß insgesamt bei nur 93 datenverarbeitenden Stellen Personen Auskunft über regelmäßige Empfänger ihrer Daten verlangten.
In 51 Prozent aller Fälle wird keine Identitätsprüfung des Antragstellers vorgenommen, das scheint nur auf den ersten Blick die mit dem BDSG verfolgten Ziele zu unterlaufen.
Dieses Ergebnis muß vor dem Hintergrund gesehen werden, daß es sich bei den Antragstellern bisher überwiegend um eigene Mitarbeiter handelte und somit eine Prüfung entfallen konnte.
Die nähere Analyse zeigt, daß sich die datenverarbeitenden Stellen relativ gut vor (Fehl-)Auskünften an Unberechtigte abschirmen. So verlangen jeweils mehr als ein Viertel über die Unterschrift auf dem Antrag hinaus zusätzlich identifizierende Daten (zum Beispiel Geburtsort etc.) oder die Fotokopie eines Ausweises des Antragstellers. Besonders gründliche Prüfungen nahmen aufgrund des sehr sensiblen Charakters der gespeicherten Daten Kredit- und Versicherungswirtschaft vor.
Kreditwirtschaft besonders gründlich
Abgelehnt wurden Auskunftsersuchen sehr selten. Diese Aussage bezieht sich sowohl auf die Zahl der datenverarbeitenden Stellen mit 4,3 Prozent (absolut 58 von 1489) als auch auf die der Anträge, wo mehr als zwei Drittel maximal fünf Anträge ablehnt.
Als Gründe für die Auskunftsverweigerung wurden zu knapp 70 Prozent eine entsprechende Rechtsvorschrift genannt, in 36,7 Prozent das entgegenstehende berechtigte Interesse eines Dritten, in 25 Prozent die Gefährdung der Geschäftszwecke der speichernden Stelle. Die weniger subjektiven Ablehnungsgründe spielten dagegen kaum eine Rolle, so wurden nur in 8,2 Prozent der Fälle Auskunftsersuchen abgelehnt, da die Daten aus allgemeinen zugänglichen Quellen unmittelbar gewonnen wurden beziehungsweise in 2 Prozent, weil sie aufgrund gesetzlicher Aufbewahrungsfristen gesperrt waren.
Bei dem nach Paragraph 26 Absatz 3 BDSG zulässigen Entgelt für die erteilte Auskunft wird die Pauschale bevorzugt: Mehr als 45 Prozent hatten sich dafür entschieden. Etwas mehr als ein Viertel legte den tatsächlichen Aufwand zugrunde, wobei jedoch die gesetzliche Einschränkung zu beachten ist, daß nur die durch die Auskunftserteilung entstandenen direkt zurechenbaren Kosten zu berücksichtigen sind.
Ob hiermit zusammenhängt, daß nur 9,5 Prozent kalkulierte Kosten als Basis des Auskunfts-Entgeltes angaben, kann nicht festgestellt werden. Positiv im Sinne des auskunfsersuchenden Betroffenen haben sich die knapp 19 Prozent der DV-Stellen entschieden, die kein Entgelt erheben. Weit über diesem Schnitt mit mehr als 50 Prozent kostenfreier Auskünfte liegt die Versicherungswirtschaft, während die Kreditwirtschaft nur zu 9,6 Prozent dazu bereit ist. (Wird fortgesetzt)
Prof. Dr. Dr. h. c. mult. Erwin Grochla ist Ordinarius für Betriebswirtschaftslehre und Organisation an der Universität zu Köln und Geschäftsführender Direktor des "Bifoa".
Dipl.-Kfm, Hans-Joachim Hamburger ist Projektleiter am "Bifoa".