Das am 27. 1. 1977 verkündete Bundesdatenschutzgesetz regelt die Verarbeitung personenbezogener Daten sowohl in der öffentlichen Verwaltung wie in der privaten Wirtschaft. Gemäß der Gesetzgebungskompetenz des Bundes gelten die Vorschriften des Bundesdatenschutzgesetzes für den öffentlichen Bereich jedoch zunächst nur für die Bundesverwaltung, d. h. die Bundesbehörden, die bundesunmittelbaren öffentlich-rechtlichen Körperschaften, Anstalten und Stiftungen. Für Landes- und Kommunalbehörden, soweit sie Bundesrecht ausführen, gilt das Bundesdatenschutzgesetz ebenfalls, jedoch nur solange, bis der Datenschutz durch Landesgesetz geregelt ist (° 7 Abs. 2). Das Bundesdatenschutzgesetz findet keine Anwendung, wenn Landes- oder Gemeindebehörden Landesrecht ausführen. Dieser Vorrang der Landesdatenschutzgesetze auch bei Ausführung von Bundesrecht stellt sicher, daß die Behörden eines Landes und seine Kommunen gleiches Datenschutzrecht anwenden.

Der Bundesgesetzgeber ist beim Datenschutz davon ausgegangen, daß die ---der noch vor Inkrafttreten des Bundesdatenschutzgesetzes am 1. 1. 1978 übereinstimmende, dem Bundesdatenschutzgesetz angeglichene Datenschutzgesetze schaffen, damit insofern eine gewisse Rechtseinheitlichkeit im Bundesgebiet hergestellt wird. Daher werden auch die Länder Hessen und Rheinland-Pfalz, die bereits vor Verabschiedung des Bundesdatenschutzgesetzes Landesdatenschutzgesetze erlassen hatten, diese Gesetze novellieren müssen. Im Interesse des Bürgers gilt es, eine Zersplitterung des Datenschutzrechts zu verhindern. Insofern sind den Ländern durch die Existenz des Bundesdatenschutzgesetzes natürliche Grenzen für ihre Gesetzgebung gesetzt. Sie können weder wesentlich von den Regelungen des Bundesrechts abweichen, noch etwa hinter dem Schutzgehalt des Bundesrechts zurückbleiben. Jedoch sollte die Forderung nach Einheitlichkeit des Datenschutzes nicht schlicht die Übernahme des Bundesdatenschutzgesetzes im Inhalt und Wortlaut auf Länderebene bedeuten. Vielmehr sollte es nun Aufgabe der Länder sein, bei Wahrung grundsätzlicher Bundeseinheitlichkeit des Datenschutzrechts auf Landesebene Mängel oder Unklarheiten des Bundesdatenschützgesetzes zu beseitigen bzw. die in ihm aufgestellten Grundsätze fortzuentwickeln. Es darf nicht verkannt werden, daß bei der Datenverarbeitung der öffentlichen Hand das Datenschutzrecht der Länder für den Bürger von besonderer Bedeutung sein wird, da weitaus die meisten Behörden, mit denen der Bürger in Kontakt steht, Landesbehörden sind; handelt es sich nun um Polizei- und Meldebehörden, Gesundheits- und Sozialbehörden, Finanz- oder Arbeitsämter, Schulen oder Hochschulen. Gegebenenfalls in Ergänzung der allgemeinen Landesdatenschutzgesetze wird es daher angezeigt sein, bereichsspezifische Spezialregelungen für die Bereiche zu erlassen, in denen bisher keine für den Bürger befriedigenden Lösungen des Datenschutzes geschaffen wurden, wie z. B. für die Bereiche der Polizei, des Verfassungsschutzes und des Gesundheitswesens. Ebenfalls wäre daran zu denken, wie es der Hessische Datenschutzbeauftragte, Prof. Simitis, vorgesehen hat, wenigstens auf Landesebene die öffentliche Verwaltung gegenüber dem Bürger für den bei unzulässiger oder unzutreffender Datenverarbeitung entstandenen Schaden im Rahmen eines Gefährdungstatbestandes haften zu lassen, dabei könnte nach den von der Rechtsprechung entwickelten Grundsätzen über den Ausgleich immaterieller Schäden bei Persönlichkeitsrechtsverletzungen auch der nichtvermögensrechtliche Schaden in die Haftungsregelung einbezogen werden.

Weiterhin wäre es begrüßenswert, wenn die Verarbeitung von personenbezogenen Daten durch die öffentlichen Stellen an strengere Voraussetzungen gebunden würde, als sie das Bundesdatenschutzgesetz im Rahmen der sowieso bestehenden Verpflichtung der Verwaltung zur rechtmäßigen Aufgabenerfüllung (° 9 Abs. 1) aufstellt. Hier könnte der Kritik an dem Bundesdatenschutzgesetz, daß dieses in wesentlichen Teilbereichen der öffentlichen Verwaltung wo die Erfassung für den Bürger von besonderes Brisanz ist (z.B. Verfassungsschutz, Polizei- und Ermittlungsbehörden), so gut wie keine Anwendungen an die Verarbeitung von personenbezogen Daten in der freien Wirtschaft strenger - wenn auch in ähnlich unbestimmten Tatbeständen - geregelt sind als in der öffentlichen Verwaltung, Rechnung getragen werden.

Als Verpflichtung aus dem Bundesdatenschutzgesetz ist den Ländern ferner aufgetragen, die Aufsichtsbehörden zu installieren, die gemäß den Vorschriften des 3. und 4. Abschnitts des Bundesdatenschutzgesetzes die Datenverarbeitung im privaten Bereich überwachen sollen. Ob es den Ländern möglich sein wird, abgesehen von der nominellen Installation einer solchen Aufsichtsbehörde, z. B. durch Zuweisung der Aufgabe an bestehende Behörden mit ähnlichen Funktionen, diese auch mit qualifizierten Mitarbeitern rechtzeitig zum Inkrafttreten des Bundesdatenschutzgesetzes zu besetzen, erscheint zumindest fraglich.

Während die Einrichtung der Aufsichtsbehörden spätestens zum 1. 1. 1978 beim Inkrafttreten des Bundesdatenschutzgesetzes vollzogene sein muß, besteht für den Erlaß von Landesdatenschutzgesetzen kein unmittelbarer Zeitzwang. Jedoch erscheint es sinnvoll und es wird wohl auch von allen Ländern angestrebt, daß vor einem Wirksamwerden des Bundesdatenschutzgesetzes bei dem Vollzug von Bundesrecht bereits entsprechende, für die gesamte Landesverwaltung einheitlich geltende Landesvorschriften in Kraft gesetzt sind.

* Peter Gola ist Mitarbeiter der Gesellschaft für Mathematik und Datenverarbeitung (GMD) in St. Augustin