Nachdem der Referentenentwurf zum Bundesdatensckritisiert, diskutiert redigiert war, der beschlosausreichend zitiert, interpretiert und kommentiert es für die datenverarbeitenden Stellen der privaten Wirtschaöffentlichen Verwaltung, praktikable Lösungen für die gesetzlichen Forderungen zu finden.

In den ersten Monaten vor und nach der Verkündung des Gesetzes wurden "Seminare zum Datenschutz" nahezu allerorts angeboten und bis zur maximalen Raumkapazität ausgebucht, ja sie kamen sogar per Video-Kassette als Familienserie ins Haus. Es entstanden Datenschutz-Vereine, diese gründeten wiederum "Erfahrungskreise", in denen Notwendigkeiten und (Un-)Möglichkeiten diskutiert wurden.

Interesse flaute ab

Wer dann die Datenschutz-Szene verfolgte, konnte feststellen, daß die angebotenen Seminare seltener und preiswerter sowie die Zahl der Veröffentlichungen geringer wurden; nur die Furcht vor der Flut von Auskunftsersuchen blieb: Der DV-Alltag trat wieder ein.

Knapp zwei Jahre danach wurde im Verlauf eines mit den Mitteln des Ministers für Wissenschaft und Forschung des Landes Nordrhein-Westfalen geförderten Forschungsprojektes durch das Betriebswirtschaftliche Institut für Organisation und Automation an der Universität zu Köln (Bifoa) eine empirische Befragung zum Themenkreis "Datenschutz und Datensicherung" (Audafest) vorgenommen (vergleiche Seite 2).

Hierbei nahmen 1489 Unternehmungen der privaten Wirtschaft und Stellen der öffentlichen Hand die Arbeit auf sich, den (im Maximalfall) insgesamt 323 Fragen umfassenden Erhebungsbogen auszufüllen. Daraus kann ermessen werden, für wie wichtig Datenschutz und diese Untersuchung gehalten wurden.

Es kamen aber auch vereinzelte Schreiben, die forderten, "dies Thema nicht noch mehr breitzuwalzen. Es ist schon genug Staub aufgewirbelt. So gegensätzlich wie die Meinungen waren auch teilweise die Ergebnisse. Da bestellten einerseits drei Prozent der in der Stichprobe enthaltenen DV-Stellen einen betrieblichen Datenschutzbeauftragten (bDSB), ohne dazu gesetzlich verpflichtet zu sein, andererseits hatten zahlreiche Befragte keinen, obwohl die eingesetzte EDV-Anlage sicher mehr Mitarbeiter voraussetzt, als es die zur Bestellung eines bDSB gegebene Untergrenze erfordert.

Einige der Ergebnisse lassen nicht ausreichende Erfüllung der Vorschriften vermuten beziehungsweise machen sie offenkundig. Das liegt einerseits wahrscheinlich daran, daß bei dem in einigen DV-Stellen gegebenen organisatorischen Stand die Maßnahmen einen enormen zeitlichen und kostenmäßigen Aufwand verursacht hätten. Dieser wurde aufgrund des im BDSG verankerten (und offensichtlich falsch verstandenen) Verhältnismäßigkeitsprinzips als nicht erforderlich erachtet.

Andererseits fehlte aber auch teilweise der Blick für in bestimmten Situationen mit dem BDSG verbundene Rationalisierungspotentiale oder das oft beschworene Datenschutzbewußtsein. Auf das erste wurde vereinzelt hingewiesen (siehe zum Beispiel CW-Gastkommentar Feb. 78: ein Gesetz mit Rationalisierungseffekt?) und laßt sich auch an einem Ergebnis der Audafest-Datenschutzbefranachweisen.

Wurde im Rahmen der AbgangsÜberprüfung der Belegorganisation und der in der datenverarbeitenden Stelle vorhandenen Datentretc.) vorgenommen, so konnte in 25,1 Prozent eine Reduzierung vorhandener Datenträger und gar zu 71,1 Prozent ein direkterer und einfacherer (und damit schnellerer) Datenträgerumlauf erzielt werden. Ohne Ergebnis blieb eine solche Untersuchung nur in 1,1 Prozent der Fälle!

Das Datenschutzbewußtsein kann dagegen nicht gemessen, in Prozentzahlen erfaßt oder verordnet werden: Es muß wachsen. Voraussetzungen hierfür sind verschiedene Aktivitäten, von denen die Schulung sicher nicht die unbedeutendste ist. Hierbei sind große Lücken jedoch unübersehbar.

So hatten zum Zeitpunkt der Erhebung nur knapp 40 Prozent der befragten Unternehmungen und Stellen öffentlicher Verwaltung Mitarbeiter in speziellen Veranstaltungen mit Fragen des Datenschutzes vertraut gemacht, wobei die auf die Betriebsgröße bezogenen Ergebnisse zwischen 25 Prozent und 85 Prozent schwankten. Das Schwergewicht der Schulungsdauer lag bei maximal zwei Stunden. Dadurch wurde zwar der gesetzlichen Vorschrift Genüge getan; eine andere Frage ist es jedoch, ob auf diese Weise ein Verständnis für Datenschutzprobleme erzeugt oder Schutz der datenverarbeitenden Stelle vor Fehlhandlungen der Mitarbeiter erreicht werden kann. Diesbezüglich muß also in Zukunft noch einiges aufgearbeitet werden.

Datenschutz-Konzeptionen passé

An dem letztgenannten Beispiel wird deutlich, welcher Art langfristig die Aktivitäten auf diesem Gebiet sein werden: Die Zeit der großen "Datenschutz-Konzeptionen" ist vorbei, nun heißt es in kleinen, aber stetigen Schritten das an einigen Stellen noch nicht ganz standfeste Gerüst auszubauen und ab und zu ein Auskunftsersuchen zu beantworten.

Das Fazit zu dem in der nächsten Ausgabe der CW veröffentlichten ersten Teil der Ergebnisse zum Thema "Datenschutz und Datensicherung" zu ziehen, ist schwer: zu dicht lagen noch Licht und Schatten.

Werden jedoch Vergleiche mit den Anlaufschwierigkeiten anderer Gesetze gezogen, die teilweise nicht so große Auswirkungen auf das organisatorische Gefüge der Unternehmungen und Stellen öffentlicher Verwaltung hatten, so ist man geneigt, von einem ausreichenden bis befriedigenden Ergebnis zu sprechen.