"Beschränkung des freien Dienstleistungsverkehrs" und damit erhebliche Wettbewerbsnachteile fährt die Wirtschaft schon seit geraumer Zeit gegen ein "Zuviel" an Datenschutz ins Feld. Die EG-Richtlinie verschärft diese Diskussion noch.

Sieben Jahre nach der bahnbrechenden Entscheidung des Bundesverfassungsgerichts zum Volkszählungsgesetz 1983 mündete die parlamentarische wie außerparlamentarische Auseinandersetzung um die Konsequenzen aus diesem Grundsatzurteil in eine Neufassung des Bundesdatenschutzgesetzes (BDSG) und der Sicherheitsgesetze. Die Regelungen für den öffentlichen Bereich wurden jahrelang mit der Behauptung "Datenschutz ist Täterschutz" blockiert.

Unter dem Motto "Regulierungssucht im BDSG" gaben Vertreter der Werbewirtschaft, des Handels sowie der Kredit- und Versicherungswirtschaft zu bedenken, ob eine Verschärfung der Verarbeitungsregeln im BDSG für den privaten Sektor im Vergleich zu anderen EG-Mitgliedstaaten nicht zu erheblichen deutschen Wettbewerbsnachteilen führen müsse. Unter dem Hinweis, daß beispielsweise die Personaldatenverarbeitung in Deutschland teuer, in den "Datenschutzbasen" Europas - bislang zum Beispiel in Belgien - wesentlich billiger sei, sahen sie in einem weiteren Ausbau des Persönlichkeitsschutzes durch den bundesdeutschen Gesetzgeber eine unzulässige Beschränkung des freien Dienstleistungsverkehrs.

Aus Kostengründen tendierten und tendieren Unternehmen dahin, ihre Datenverarbeitung durch unselbständige Zweigstellen im Ausland zu zentralisieren.

Die Einrichtung einer Datenbank, bei der Informationen aus den nationalen Gesellschaften ungehindert zusammenlaufen würde nicht nur einen Überblick über die Personalsituation in den jeweiligen Unternehmen gewähren, sondern auch interessante Managementinformationen liefern.

Ob sich eine Verlagerung der Datenverarbeitung in das Ausland wegen angeblich "überzogener" nationaler Datenschutzvorschriften auszahlt, ist sehr zweifelhaft Nach bundesdeutschem Recht dürfen personenbezogene Daten nicht aus dem Geltungsbereich des BDSG entlassen werden, ohne daß die gesetzlichen Übermittlungsvoraussetzungen erfüllt sind, das heißt: Datenübermittlungen sind zulässig, wenn in den Empfängerländern vergleichbare Datenschutzbestimmungen gelten beziehungsweise zumindest ein gleichwertiger Datenschutz durch vertragliche Vereinbarungen zwischen Datenexporteuer und Datenempfänger gewährleistet wird. Unternehmen gehen allerdings zum Teil davon aus, daß die Weitergabe von Daten an rechtlich unselbständige Zweigstellen im Ausland firmenintern, "familienbedingt" erfolgt und somit die Übermittlungsregelungen keine Anwendung finden (1).

Anzumerken bleibt, daß Weltweit auf der politischen Ebene die Tendez zu beobachten ist, den Datenschutz zu stärken. So hat sich etwa die französische Datenschutzkommission gegen die Absicht von Fiat/Frankreich ausgesprochen, Informationen speziell über Führungskräfte, aus der nationalen Firmendatenbank "Ihris" und aus allen mit diesen Informationen erstellten Statistiken an die internationale Datenbank von Fiat/ Italien zu Übermitteln, weil das Empfängerland über keine Datenschutzregelungen verfüge (2).

In Belgien hat der Ministerrat einen Datenschutzgesetz-Entwurf 1990 angenommen, nach dem "importierte" Daten den vorgesehenen engen Verarbeitungsregeln im eigenen Land unterliegen sollen. Dadurch soll der grenzüberschreitende Datenverkehr, abgekürzt "TDF" (Transborder Data Flow), ein hohes Schutzniveau erhalten. Diesem Ziel dienen unter anderem auch die Festlegung von datenschutzrechtlichen Mindeststandards für nationale Gesetzgeber durch die Menschenrechtskonvention der Vereinten Nationen, die Datenschutzkonvention des Europarates und die vorgesehene EG-Richtlinie, die die Angleichung von Rechts- und Verwaltungsvorschriften der Mitgliedsstaaten zum Personenschutz, speziell auch für den Bereich der Wirtschaft, nach deutschen und französischen Vorbild plant.

Die Reaktionen auf den EG-Richtlinienentwurf zur Harmonisierung des Datenschutzes in Europa fallen allerdings unterschiedlich aus. Größtenteils findet er Zustimmung von seiten der Politiker und Datenschutzbeauftragten, wogegen Vertreter der Wirtschaft behaupten, daß der Entwurf auf einen "exzessiven" Datenschutz in Europa zusteuere. Fest steht jedenfalls: Wenn EG-Mitgliedsstaaten in Zukunft vergleichbare Standards aufweisen müssen, kann der "Buhmann Datenschutz" für Wettbewerbsverzerrungen im EG-Binnenmarkt nicht mehr verantwortlich gemacht werden.

Herausforderung für den Persönlichkeitsschutz?

Bleibt anzumerken, daß auch osteuropäische Länder die herausragende Bedeutung des Datenschutzes für eine funktionierende offene Gesellschaft erkannt haben. Es gibt bereits beeindruckende Regelungen und den Beginn einer einschlägigen Verfassungsrechtsprechung in Ungarn, ein Datenschutzgesetz in Polen und eine Datenschutzdiskussion in der Sowjetunion. Kann man da noch sagen, daß die Meßlatte für den Datenschutz in der EG übertrieben hoch liegt?

Die ersten Datenschutzgesetze in den Bundesländern und das BDSG entstanden, um den Gefahren, ausgehend von den sich verändernden Informationstechnologien, für das Recht auf Privatheit (privacy) zu begegnen, reicht aber um die herkömmliche Art der Informationsgewinnung und -nutzung neu zu regeln. Der Anwendungsbereich des geltenden BDSG erstreckt sich zum Beispiel nur auf die Verarbeitung von personenbezogenen Daten bei Speicherung, Übermittlung, Löschung und Veränderung in und aus Dateien. Die Phase der Datenerhebung wird im wesentlichen ausgenommen.

Man betrachte aber die Möglichkeiten, beispielsweise durch Online-Verbindungen Datenschutzanforderungen dann zu umgehen, wenn Daten nicht erst lokal gespeichert werden, sondern vor Ort lediglich erhoben und unmittelbar über Leitung ohne oder mit nur kurzer Zwischenspeicherung von einem inländischen Terminal zu einem im Ausland betriebenen Rechner überspielt werden. Findige Unternehmen könnten sich auf diesem Weg in Datenschutzoasen davonschleichen, denn Übermittlungsregeln finden in obigem Beispiel wegen einer fehlenden vorausgegangenen dateimäßigen Speicherung keine Anwendung. Die BDSG-Novelle hat deshalb zum Ziel, die Fortentwicklung der Technik und den Datenschutz in Einklang zu bringen.

Orwells Alptraum, daß sich "Big Brother" die Technik zunutze machen könnte, um den Menschen in den Griff zu bekommen und zu beherrschen, ist allgemein bekannt. Seine Vision wurde bereits Wirklichkeit. In der DDR gab es eine automatisierte flächendeckende Infrastruktur zur Kontrolle der Bevölkerung. Jeder Bürger und seine Kontaktpersonen wurden in einer zentralen Personen-Datenbank "wie in einem Kleiderschrank nach bestimmten Merkmalen sortiert und gespeichert", so berichteten süffisant die Berliner Neuesten Nachrichten am 3. April 1990.

Allwissend darf der Staat nicht sein. Vor dem Hintergrund, ein "Gleichgewicht wiederherzustellen zwischen den unverzichtbaren Informationsbeziehungen in einer modernen Gesellschaft auf der einen und dem Schutz der Privatheit auf der anderen Seite", so Hirsch am 30. Mai 1990 (3), verabschiedete das deutsche Parlament am 21. September 1990 eine Vielzahl von Neuregelungen für den öffentlichen Bereich, die insbesondere die Überwachungs- und Kontrollmöglichkeiten, die mit Hilfe der neuen Technologien möglich sind, betreffen. Auch der Datenschutz im privatrechtlichen Bereich erfuhr eine Anpassung an die neuen technischen Strukturen. Er wurde aber insgesamt weniger "rigoros" ausgestattet (4).

Wenn auch im privaten Bereich, zum Beispiel bei der Datenerhebung, keine ins einzelne gehenden Regelungen getroffen wurden, so bleibt doch festzuhalten, daß unternehmerisches Informationsverhalten (Art. 2 und Art. 12 GG) nur dann akzeptabel ist, wenn personenbezogene Daten des Bürgers nicht losgelöst von seinem Willen (Art. 2 Abs.1 iVm, Art. 1 Abs. 1 GG) ausschließlich nach den Be-Mißbrauch, sondern will das Persönlichkeitsrecht in allen Bereichen schützen, unabhängig von der Art der Datenverarbeitung. Aus diesem Grund ist zum Beispiel der Dateibegriff im novellierten BDSG geändert worden. Neue Techniken, wie Videoaufzeichnungen und optische Speichermedien sind von der Regelung nicht mehr grunddürfnissen des Marktes verarbeitet und genutzt werden. Das neue BDSG begnügt sich deshalb nicht mit dem Schutz vor sätzlich ausgegrenzt (° 3 Abs. 2 Nummer 1 BDSG).

Wirtschaftsauskunfteien bieten Firmenprofile aus Deutschland und anderen EG-Ländern in vielen Sprachen online über Personal Computer abrufbar ihren Kunden an. Soweit es sich dabei um die Verarbeitung von personenbezogenen Informationen handelt, ist dies nicht eines unter mehreren Marktproblemen in Europa, sondern auch eine Frage des Datenschutzes. Wie dieses Beispiel zeigt, liegt es weder im Interesse der Firmen noch der Betroffenen, wenn die zirkulierenden Daten unzulässig bekannt beziehungsweise genutzt werden.

Es gibt heute viele Sicherungsverfahren, wie Codierung und Chiffrierung der Informationen oder Verschlüsselung des Inhalts der zu übertragenden Nachrichten, so daß sie gegen den Zugriff Dritter geschützt sind. Die weitere Entwicklung dieser datenschutzgerechten Verfahren wird jedoch, wie Schrempf (5) überzeugend darlegt, dann nicht gefördert, wenn allgemein geltende Datenschutzanforderungen unangemessen hoch sind. Hier ist ein Investitionsanreiz nicht gegeben. Technische Gesichtspunkte und rechtliche Fragen gilt es insoweit auch unter wirtschaftlichen Aspekten neu zu überdenken.

Integraler Bestandteil der unternehmerischen Datenschutzkontrolle ist der betriebliche Datenschutzbeauftragte. Es bedarf technisch wie rechtlich versierter Beauftragter, die in der Lage sind, datenschutzgerechte Verfahren einzusetzen. Sie können diese Aufgabe nicht im "Nebenberuf" als "Job" wahrnehmen. Vielmehr müssen sie die unterschiedlichen Wirkungen für die betroffenen Beschäftigten, Kunden und Lieferanten einschätzen können, um den Datenschutz in der Firma zu optimieren. Investitionen in eine datenschutzgerechte Technik und für einen fähigen Datenschutzbeauftragten sind insoweit lohnend.

Konsequenzen politischer und wirtschaftlicher Natur

Politisch meint dies die Angleichung internationaler Datenschutzstandards auch im Interesse der Wirtschaft. Wirtschaftlich gesehen stellt der Datenschutz eine Aufgabe des Managements dar zur Sicherung der Mitarbeiter- und sonstigen Daten sowie des geschäftlichen Know-hows. Schlußfolgerung kann daher nur sein: Effekturierung des Datenschutzes auch im Sinne eines Wettbewerbs- und Investitionsvorteils.

Literaturhinweis:

(0) Vgl. Boedicker, Streit um den Datenschutz, SZ vom 29. November 1990.

(2) Beschluß der französischen Datenschutzkommission CNIL, Nummer 89 bis 78 vom 11. Juli 1989.

(3) Plenum heute, Nummer 642

(4) Vgl. Blenz, Lambsdorff, Penner, RDV 1990, Seite 219 ff.

(5) Datenschutz bei TE-MEX 1990, Seite 119 ff., 150 f.