Am Datenschutz-Thema erhitzen sich nach wie vor die Gemüter, wobei die Welt der Datenverarbeiter in zwei Lager gespalten ist: Eine Minderheit gibt sich als Musterschüler, hat alle Auflagen erfüllt, selbstverständlich auch schon einen Datenschutzbeauftragten (voll in Aktion). Anders die meisten EDV-Leiter: Sie sehen zwar viel Arbeit auf sich zukommen, schieben sie jedoch noch vor sich her; zumal es einige unklare Punkte im Gesetz gibt. Die DV-Profis nehmen diese als Ausrede. So ist beispielsweise die Datei-Definition noch strittig, und gerade die Datei-Registrierung ist ein Kernproblem, das das BDSG dem Datenschutzbeauftragten als erste Aufgabe auferlegt. Die Unsicherheiten im Gesetz nehmen solcherart in manchen Fällen den besten Willen. Unsere vier Statements spiegeln denn auch die Uneinheitlichkeit der Meinung zum BDSG wider.

Hugo Schwenk

Leiter der Datenverarbeitung und Organisation, Papierwerke Aschaffenburg, Raubling

Mit unserem Datenschutzbeauftragten haben wir ein Agreement geschlossen: Die EDV löst den EDV-spezifischen Teil - sozusagen in seinem Auftrag - in eigener Verantwortung und übergibt ihm diesen Teil. Wir können von ihm nicht verlangen, daß er den Dateiauszug, der am 1. 1. 78 zur Verfügung sein muß, selbst erstellt oder verantwortet. Er muß dazu überhaupt nicht physisch in der EDV-Abteilung zu spüren sein. Was den Datenschutz der personenbezogenen Daten betrifft, so wurden hier vor längerer Zeit schon Vorkehrungen getroffen, die dem Gesetz genügen, so daß wir in keine Zwangslage gebracht werden können. Auch ist der EDV-eigene Datenschutz keine zusätzliche Belastung für uns, denn "die Kunst des Managers ist es, die Arbeit zu delegieren". Wir verfügen über eine Systemgruppe, die sich aus vier hochkarätigen Spezialisten zusammensetzt, an der Spitze steht ein "Dateien-Manager". Außerdem gibt es noch 30 Programmierer für unsere derzeit zwei Milliarden Bytes im ständigen Zugriff. Hier mußten auch ohne das BDSG Programme vorhanden sein, mit denen man bei Bedarf einen Überblick erhält was sich in den Dateien eigentlich alles abspielt. Im Zuge dieser Arbeit hat unser Dateien-Manager ein Unterprogramm geschrieben, das nun speziell die Erfordernisse des BDSG berücksichtigt.

Um den EDV-Teil braucht sich der Datenschutzbeauftragte bei uns also nicht kümmern. Wir - meine Manager und ich - stehen ihm dafür gerade, daß das, was EDV-technisch abläuft, ordnungsgemäß im Sinne des BDSG ist. Er selbst hat schon genug damit zu tun, in den Fabriken und Verwaltungen dafür zu sorgen, daß die dort verwalteten Daten BDSG-gerecht behandelt werden.

Für ein hochcomputerisiertes Unternehmen, wie wir es sind ist das Problem Datenschutz viel leichter zu handhaben als bei kleineren und mittleren Firmen, da die Automation von vorneherein Forderungen an eine straffe Organisation stellt.

Dr. Henning Scheu,

Geschäftsführer der BMW-Motor-Sport GmbH, Datenschutzbeauftragter der BMW AG, München

Der Datenschutzbeauftragte eines Unternehmens müßte bereits deutlich zu spüren sein. Als Basis für seine gesamten Aktivitäten sollte er intensive Gespräche mit der Personalabteilung und dem Betriebsrat führen, damit Zündstoff, der hinsichtlich der Überschneidungen und des Betriebsverfassungsgesetzes auftreten kann, von vornherein ausgeschaltet wird.

Als Basis für alle seine Aktivitäten müßte er derzeit eine komplette Daten- und Dateien-Ist-Erhebung in Angriff nehmen, die ihm einen Überblick darüber verschafft, mit welchen Einzeldateien das Unternehmen I arbeitet. Hierzu sind nicht nur die Register nach °29 und dem Fall der Auftragstätigkeit nach °39 des BDSG vorzubereiten sondern gleichzeitig ist hausintern die Sortierung nach reinen BDSG-Dateien, nach Dateien die nicht unter das BDSG fallen und Dateien, die lediglich nach 6 plus Anlagen zu schützen sind vorzunehmen. Gleichzeitig soll hierbei die Grundlage geschaffen werden zur Erfassung aller Auftragsverhältnisse, des zu unterrichtenden Personals und vor allem der Mitarbeiter, die zur Geheimhaltung verpflichtet werden.

Als nächstes muß er zwei weitere Verfahren in Angriff nehmen, mit denen er ab Januar 78 auf jeden Fall konfrontiert wird: Das Benachrichtigungswesen und das Auskunftsverfahren, wobei letztes ihm einiges Kopfzerbrechen bereiten dürfte. Hierzu muß wiederum eine Sortierung, nämlichen der möglichen Auskunftssuchenden vorgenommen und festgestellt werden wie die Identifizierung der angesprochenen Gruppen vor sich gehen soll.

Anschließend muß der DB seine Gesamtdateien Datenfeld für Datenfeld durchgehen und feststellen, welche Dateien er zur Auskunft zur Verfügung stellen muß.

Nebenher muß er sieh Gedanken machen über das nötige Formularwesen sowie das eventuell zu fordernde Entgelt, abhängig davon, ob maschinelle oder manuelle Verfahren zum Einsatz kommen. Nicht zu vergessen sind in größeren Unternehmen die Kosten für solche maschinellen Verfahren, die durch sehr umfangreiche Programmierung entstehen.

Um allen Beteiligten die Arbeit zu erleichtern, sollte der Datenschutzbeauftragte im Rahmen seines Formularwesens für die Auskunftserteilung auf jeden Fall den Auskunftssuchenden bereits die Art der zu benennenden Daten anbieten.

Ernst Küchling Datenschutzbeauftragter, Allgemeine Rentenanstalt, Stuttgart

In unserem Haus spürt man den Datenschutzbeauftragten hoffentlich an allen Ecken und Enden: Priorität haben derzeit die Aufnahme der Dateien, die Feststellung ihres Sicherheitsgrades sowie Schulung und Verpflichtung der betroffenen Mitarbeiter. Weiter bin ich noch nicht gekommen. Und wie ich von befreundeten Unternehmen gehört habe, sind die Kollegen etwa auf dem gleichen Stand. Auch hat es meiner Ansieht nach keinen Sinn, wesentlich weiter zu denken - das verwirrt nur.

Speziell die Versicherungsbranche hat eine Menge "empfindlicher" Daten zu verarbeiten, und hier muß ganz exakt vor gegangen werden. Dazu habe ich zunächst einmal Fragebogen an alle Abteilungen verschickt, mit denen alle Daten und Dateien gemeldet werden müssen. Mit dieser Aktion wird jede Kartei auch die kleinste, versteckteste, registriert.

Als Hilfestellung bei meiner Arbeit steht mir ein beratender Ausschuß zur Seite, dem auch ein Herr von der EDV angehört und auf den ich mich hundertprozentig verlassen kann. Das größte Problem in bezug auf die Datensicherheit stellen unsere Bildschirm-Terminals dar, da derzeit noch jeder mit einem solchen System arbeiten kann. Hier werden demnächst Geheimcodes ausgegeben und an den Geräten Schlüssel angebracht.

Die Zeit drängt derart, daß ich im Augenblick etwa zu drei Viertel ausschließlich in meiner Funktion als Datenschutzbeauftragter tätig bin. Mit der "linken Hand" muß ich meine ursprünglichen Aufgaben ausführen: als Abteilungs-Direktor über die Antragsaufnahme zu entscheiden und den zentralen Sehreibdienst zu leiten.

Ein großer Teil der kostbaren Zeit geht auch zu Lasten von Seminar-Besuchen und BDSG-Literatur-Lesen. Nur habe ich inzwischen auch dabei die Feststellung gemacht, daß man bei der Auswahl sehr kritisch vorgehen und gezielt wählen sollte denn "allzuviel ist ungesund".

Hans Ullrich

EDV-Chef und Datenschutzbeauftragter, Heinrich Bauer-Verlag, Hamburg

Der nächste Termin des Bundesdatenschutz-Gesetzes kommt bestimmt, also muß heute im Unternehmen die Existenz eines Datenschutzbeauftragten auch zu spüren sein. Im Rahmen meiner Tätigkeit als Datenschutzbeauftragter nicht nur für den Heinrich Bauer-Verlag, sondern ebenso für dessen Töchter, habe ich bereits diverse BDSG-Aufklärungskampagnen, verbunden mit Reisen, unternommen. Zudem gab es bei uns im Haus bereits im Frühjahr Informationsveranstaltungen für diejenigen Mitarbeiter - auch Mitglieder des Betriebsrates - , die vom Gesetz betroffen sind.

Intern läuft derzeit das Verfahren zur Verpflichtung auf das Datengeheimnis gemäß ° 5 BDSG den Töchtern und dieser Tage auch bei uns an. Außerdem werden wir dem Gesetz entsprechende Zusätze in unsere Verträge hineinnehmen, um der Benachrichtigungspflicht zu entsprechen.

In keinem Fall aber sollte die Aktivität eines Datenschutzbeauftragten daran gemessen werden, wie oft er sieh in den EDV-Räumen aufhält und regelrecht in Dateien "wühlt". Im Gegenteil, meiner Meinung nach muß der Datenschutzbeauftragte weg von der EDV-Abteilung, denn nicht hier ist sein Arbeitsfeld zu suchen, sondern in den "speichernden Stellen", also den Fachabteilungen, wo diese Informationen entstehen oder bearbeitet werden. In diesem Zusammenhang möchte ich noch ein Mißverständnis, das sieh inzwischen breitgemacht hat, aus dem Weg räumen: Vielerorts wird behauptet, daß der EDV-Chef nicht gleichzeitig Datenschutzbeauftragter sein kann, da in diesem Fall der "zu Kontrollierende sich selbst kontrolliert". Diese Ansicht ist falsch. Die EDV ist nichts weiter als eine zwischengeschaltete Stelle, ein Auftragnehmer - zu kontrollieren ist hingegen - im Sinne des BDSG - die speichernde Stelle. Natürlich ist es unsere Aufgabe, der Fachabteilung klarzumachen, daß sieh der Datenschutz nicht nur auf die maschinelle Datenverarbeitung erstreckt, sondern auch Karteien einbezieht, die in herkömmlicher Form noch bei den Sachbearbeitern existieren.

Ganz von der EDV losgelöst aber sollte das Gesetz nicht gesehen werden, denn die Forderung nach Datensicherheit muß von dieser Seite her erfüllt werden.