CW-Bericht, Heinrich Seeger

Nachdem der komplette legislative Parcours - Bundestag, Bundesrat, Vermitdungsausschuß, Bundesrat - durchlaufen worden ist, hat die Länderkammer am 21. September 1990 den Weg für ein Artikelgesetz freigemacht, das unter anderem die Nivellierung des Bundesdatenschutzgesetztes (BDSG) regelt.

Die wesentlichen Neuerungen: Der Geltungsbereich des BDSG im "nicht-öffentlichen Bereich" wurde auf Fälle eingegrenzt, in denen Daten zu kommerziellen ("geschäftsmäßigen"), beruflichen oder gewerblichen Zwecken verarbeitet oder genutzt werden. Bisher unterstand auch die DV anderer, beispielsweise gemeinnütziger, Organisationen der Aufsicht der Datenschutz-Behörden.

Der betriebliche Datenschutz-Beauftragte (DSB) hat künftig eine stärkere Stellung gegenüber der "speichernden Stelle" (dem Betrieb) als bisher. Die Geschäftsleitungen werden sich mit dem Gedanken anzufreunden haben, daß ihre Bit-Wächter künftig praktisch unkündbar sind, sofern sie keine kapitalen "Böcke" schießen. Gefeuert werden kann der Beauftragte ansonsten nur bei nachgewiesener Inkompetenz - oder anders begründeter fehlender Eignung - auf Veranlassung der zuständigen Aufsichtsbehörde.

Informationspflicht der speichernden Stelle

Darüber hinaus ist der Arbeitgeber verpflichtet, dem Beauftragten Hilfspersonal, Räume Geräte, Einrichtungen und Mittel zur Verfügung zu stellen. Bezüglich einer Übersicht übe vorhandene Dateien, DV-Anlagen, Art der gespeicherten Daten, über die Verteilung der Zugriffsrechte und - bei Daten. Übermittlung - die Empfänger hat die speichernde Stelle jetzt eine Bringschuld gegenüber dem Beauftragten. Bisher mußte sich der DSB diese Informationen in Eigeninitiative besorgen.

In Fällen, wo persönliche Daten von öffentlichen oder nichtöffentlichen Stellen zu deren eigenen Zwecken nicht korrekt verarbeitet oder übermittelt wurden, treten nach der BDSG-Novelle-quasi als Staatsanwalt - die Aufsichtsbehörden auf. Mußten die "Betroffenen" (BDSG-Diktion) bisher selbst aktiv werden, um zu ihrem Recht zu kommen, kann die Aufsichtsbehörde jetzt zum Beispiel aufgrund eines Zeitungsartikels die Initiative ergreifen und kontrollieren, ob ein Verstoß gegen Datenschutz-rechtliche Bestimmugen vorliegt.

Über das vorliegende Gesetz, entwickelte sich eine Diskussion zwischen Rechts- und Informatikexperten in der COMPUTERWOCHE. Vorrangig ging es dabei um die Position des DSB im nicht-öffentlichen Bereich. Endlich, so heißt es in der Ausgabe 42 vom 19. Oktober 1990 in einem Gastkommentar von Irene Wind, Ex-Geschäftsführerin der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD), werde "der notwendigen Differenzierung zwischen der Datenverarbeitung im öffentlichen und im nicht-öffentlichen Bereich deutlich Rechnung getragen"

Novelle trotz Kritik als Kompromiß akzeptiert

Gegenüber dem alten BDSG stellt die Novelle einen Fortschritt dar, was die Abbildung der DV-Realität betrifft - soweit herrscht Einigkeit unter den Experten. Die Neupositionierung des betrieblichen DSB etwa wird begrüßt als eine Stärkung der betrieblichen Selbstkontrolle, die in der freien Wirtschaft erfahrungsgemäß weit besser funktioniere als staatliche Überwachung. Gleichwohl hat sich just am Berufsbild des betrieblichen Datenschützers ein Streit entzündet.

Sind in einem Unternehmen mindestens fünf Personen mit der automatisierten Datenverarbeitung beschäftigt, ist die Besetzung der Position eines DSB zwingend erforderlich. Eine Marktlücke tut sich auf bei den speichernden Stellen, deren Budget eine zusätzliche Stelle für den Datenschutz nicht verkraften würde, meint Eugen Ehmann, Regierungsrat im Bayerischen Staatsministerium des Innern. Denn, so seine Überlegung, ein DSB muß nach dem Buchstaben des novellierten Gesetzes gar nicht unbedingt auf der Gehaltsliste des betreffenden Unternehmens stehen. Vielmehr könnte ein externer Experte - vorzugsweise ein Rechtsanwalt, wie Ehmann nahelegt, - den Job erledigen und die ob der erhöhten Datenschutz-Aufwendungen gerunzelten Stirnen vieler Finanzverantwortlicher glätten.

Dilemma - "Kuckuckzei" oder Betriebsblindheit

Kann ein Rechtsexperte, der keine oder nur oberflächliche DV-technische und -organisatorische Kenntnisse hat, sozusagen en passant für mehrere Auftraggeber deren Datenschutz-Verpflichtungen einlösen, und das neben seinen sonstigen Kanzleiaufgaben? Während Ehmann offenbar für selbstverständlich hält, wird die Frage von Anderen kategorisch verneint. Gerhard Kongehl, Vorsitzender des Berufsverbandes der betrieblichen und behördlichen Datenschutzbeauftragten Deutschlands (BvD), sah sich zu einer heftigen Reaktion auf Ehmanns Ausführungen veranlaßt: Ob denn der Berufsstand der Rechtsanwälte so wenig ausgelastet sei, daß er sich auch noch in die Reihe der Datenschützer einreihen müsse, polemisierte Kongehl und ritt eine Attacke gegen den Anwalt als "Kuckucksei" des Datenschutzes:

Das Vorhaben der externen Kandidaten aus der Juristerei, ihre Klientel um Datenschutzpflichtige Mittelständler zu erweitern, unterlaufe die einschlägige Gesetzgebung, "demontiere" den Datenschutz und gefährde eine ordnungsgemäße DV in den betreffenden Unternehmen, argwöhnt der Verbandschef. Er pocht dagegen auf die geforderte Unabhängigkeit des Berufsbildes der Datenschützer, die sich aus dem Pflichtenkatalog des BDSG ableiten lasse. Diese Unabhängigkeit ist im übrigen - wenn auch in einem anderen Kontext - gerichtlich bestätigt worden, und zwar, wie Kongehl informiert, vom Landgericht Ulm.

Datenschutz-Beauftragte haben von Gesetzes wegen die Verpflichtung, unter anderem die ordnungsgemäße Funktion von System- und systemnaher Software zu gewährleisten und dafür zu sorgen, daß etwa adäquate Datenbanken und Verschlüsselungsroutinen zum Einsatz kommen. Rechtsanwälte mit Datenschutz-Mandat lehnt Kongehl daher als unterqualifiziert und überfordert ab. Gleichwohl, konzertiert er, sei auch juristisches Urteilsvermögen beim betrieblichen Datenschützer vonnöten. Seine etwas wider. sprachliche Einschränkung: In juristischen Fragen könne sich ein Beauftragter dann ja an rechtskundige Kollegen, etwa an den justitiar des jeweiligen Unternehmens, wenden oder den Rat von "ausgewiesenen DV-Rechtlern" im BvD in Anspruch nehmen. Der Frage, welcher Berufsstand den idealen Qualifikations-Mix in einer Person repräsentiere - Juristen

oder Informatiker - weicht Kongehl aus.

Ehmann zäumt das Pferd von der anderen Seite auf, gewichtet den juristischen Aspekt der Datenschutztätigkeit höher und ignoriert dabei weitgehend die Tatsache, daß die DV keine "Black Box" mehr darstellt, sondern idealerweise in einer Wechselbeziehung zu allen operativen und Entscheidungsebenen eines Unternehmens steht. Die Komplexität des Feldes erhöht sich dadurch.

Jedes Beratungs- und DV-Projekt muß mit einer - häufig genug unerwartet aufwendigen Vorstudie beginnen, in welcher der Ist-Zustand einer DV-Struktur identifiziert wird. Mit einem geringeren Informationsstand darf sich auch ein Datenschützer nicht zufrieden geben. Der Bremer DSB Hans-Dietrich Koch (siehe Gastkommentar auf Seite 8) kommt zu dem Schluß, es reiche bezüglich der Qualifikation von Anwälten für seinen Berufsstand nicht aus, "daß man pauschal feststellt, die Anwaltschaft habe den Schritt in die moderne Kommunikationstechnologie längst hinter sich". Vielmehr sei "Datenschutz (... ) eine Organisationsaufgabe des Unternehmens".

Ein zweischneidiges Schwert stellt das vom BDSG geforderte Kriterium der Unabhängigkeit des DSB von der Geschäftsleitung dar. Es liegt nicht auf der Hand, wer geringeren Anfechtungen ausgesetzt ist: Ein langjähriger, zum Datenschützer avancierter Mitarbeiter, dessen soziale und hierarchische Einbindung in das Unternehmen ihm womöglich Scheuklappen aufsetzt, oder ein honorar- beziehungsweise pauschalenabhängiger Anwalt, der - hier scheint laut Koch die Rechtslage noch mehrdeutig zu sein - nicht den vollen vom BDSG vorgesehenen Kündigungsschutz genießt, der bei "Nicht-Gefallen" also von der Geschäftsleitung seines Weges geschickt werden könnte.

Schutz der Unternehmen kontra Kündigungsschutz

Ehmann favorisiert Anwälte mit dem Hinweis, der klassische DSB sei in der Regel nebenamtlich tätig gewesen. Er sei deshalb möglicherweise nicht nur bereits betriebsblind, sondern vor allem mit den rechtlichen Facetten seiner Aufgabe zeitlich und fachlich überfordert. Das wollen auch andere Experten nicht ausschließen. Zündstoff bietet dagegen Ehmanns Argument, die Unternehmen hätten nach dem neuen BDSG kaum noch eine Möglichkeit, sich eines fest angestellten Datenschützers zu entledigen, selbst wenn genügend Gründe dafür sprächen. Von einem beauftragten selbständigen Rechtsexperten dagegen, davon geht Ehmann aus, kann sich ein Unternehmen ohne größere Probleme wieder trennen.

Die Lehrbeauftragte für Datenschutz am Informatik-Institut der Universität München Marie-Theres Tinnefeld, sieht sich durch Ehmanns Argumentation zu der Interpretation veranlaßt, er rede einem "Schutz" der Unternehmen vor einem unkündbaren DSB das Wort. Eine verfehlte Zielsetzung, meint Tinnefeld: Vielmehr liege es im eigenen Interesse der Firmen, möglichst hoch - informatik-technisch wie juristisch - qualifizierte Beauftragte zu finden. Anderenfalls nämlich liefen sie Gefahr, mit der Aufsichtsbehörde aneinander zu geraten, die einen minderqualifizierten Beauftragten absetzen könne - Imageschädigend für beide Seiten.

Den idealen DSB gibt es nicht - explizit oder implizit kommen alle Experten zu diesem Schluß. Kein Bewerber, kein externer Anbieter, werde allen rechtlichen, technischen und organisatorischen Qualifikationskriterien genügen, meint etwa Koch. In jedem Fall, so die Essenz seiner Einsicht, müßten Defizite durch "zielgerichtete Schulungsmaßnahmen" ausgeglichen werden. Ob man dabei auf juristischen oder DV-technischen Kenntnissen aufbaut, sei weniger erheblich.

Ein Qualifikations-Mix muß angestrebt werden

Ohne das K.o.-Kriterium einer weitgehenden Integration des Datenschutzes in die Unternehmensorganisation, ohne "betriebliche Kompetenz und Fachkunde" des DSB also, geht für ihn dagegen nichts. Wenn die gewährleistet, wenn also ausreichend Zeit und Geld zur betrieblichen Einarbeitung eines externen Datenschutz-Dienstleisters verfügbar sind, heißt Koch auch diesen willkommen. Eine "originär anwaltliche Aufgabe" vermag er in der Wahrung der BDSG-Bestimmungen gleichwohl nicht zu erkennen. In der Tat: Die Qualifikationshürde scheint hoch, zumal im Vorfeld kaum kalkulierbar sein dürfte, wie lange ein Unternehmens. und Fachfremder für ein adäquates "Update" seiner Betriebskenntnis benötigen wird.

Tinnefeld weist Ehmanns Feststellung, den Anwälten sei ihre Datenschutz-Qualifikation geradezu mit in die berufsständische Wiege gelegt worden, ebenfalls zurück. Zwar würde auch sie einem Juristen mit profunden EDV-Kenntnissen nicht unverzüglich die Tür weisen, die "Waagschale im Streit um den geeigneten betrieblichen Datenschützer" neige sich gleichwohl erkennbar zugunsten des Informatikers, meint die Expertin. Grund: Mit zunehmender Leistungsfähigkeit, Komplexität und Diversifikation - durch steigenden PC-Einsatz - von DV-Systemen stiegen auch die Anforderungen an ihre Überwacher, was die Beurteilung sicherheitstechnischer und strategischer Auswirkungen von DV-Investitionen und -Organisation angehe.

Fest steht: Der Gesetzgeber hat den Funktions- und Qualifikationsrahmen, in dem sich der betriebliche Datenschutz-Beauftragte aufhält, genauer definiert. Die Experten in den Unternehmen müssen neue Überlegungen anstellen, wenn es gilt, DS-Beauftragte zu finden.