Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

05.01.1978

BDSG: Ein Gesetz mit Rationalisierungseffekt?

05.01.1978

Das BDSG hat seit dem ersten, Referentenentwurf Anlaß zu intensiven Diskussionen gegeben. Während dabei ursprünglich ausschließlich die durch die Gesetzesvorlage zu erwartenden bzw. erwarteten Kosten im Mittelpunkt standen, hat sich seit der Verabschiedung des Gesetzes ein weiterer Schwerpunkt der Diskussion gebildet: die konkreten Probleme der Anwendung.

Die verstärkte Diskussion der Anwendungsprobleme ergab sich schon - quantitativ gesehen - durch die wachsende Zahl ernannter betrieblicher Datenschutzbeauftragter. Hinzu kam eine qualitative Komponente, da der Gesetzgeber mit dem BDSG einen Regelungsrahmen geschaffen hat, der auf dem Prinzip der internen Kontrolle basiert. Während Freizügigkeit bei der Wahl der zur Erfüllung anderer Gesetze einzusetzenden Instrumentarien in vielen Fällen begrüßt würde, werden in diesem speziellen Fall von nahezu allen Seiten exakte Ausführungsbestimmungen gefordert. Das hängt nicht zuletzt von der Besonderheit des Gesetzesziels ab: als absolutes Ziel kann es entweder vollständig oder gar nicht erreicht werden! Ein absolutes Ziel zu erreichen, erfordert in jedem Fall Kosten. Das kann nicht ernsthaft bestritten werden.

An dieser Stelle sollen die bisherige Kostendiskussion und die Frage, ob der Katalog der unternehmungsinternen Empfänger personenbezogener Daten unbedingt notwendig ist, nur Ansatzpunkt sein zu der oben formulierten These: das BDSG, ein Gesetz mit Rationalisierungseffekt?

Diese These, daß sich durch im Zusammenhang mit dem BDSG eingeführte organisatorische Regelungen zum Teil beträchtliche Rationalisierungseffekte erzielen lassen, stützt sich auf Erfahrungen aus den Veranstaltungen zur Ausbildung von Datenschutzbeauftragten des von mir geleiteten BIFOA. So konnte bei der Vorstellung einzelner organisatorischer Lösungen zur Erreichung bestimmter Datenschutz-Teilziele ein augenfälliger Zusammenhang zwischen Inhalt des Diskussionsbeitrags eines Teilnehmers und dem Organisationsgrad der betreffenden Unternehmung festgestellt werden. Anders ausgedrückt: war die organisatorische Lösung in der Unternehmung bereits eingeführt, so galt sie als nicht, wesentlich, während sich im anderen Fall heftige Diskussionen anbahnten. Diese an sich triviale Feststellung führt jedoch konsequent zu einer Frage, der bisher kaum Aufmerksamkeit geschenkt wurde: Wenn organisatorische Regelungen vor der Verabschiedung des BDSG getroffen wurden, um die Wirtschaftlichkeit einer Unternehmung zu steigern, und nun zur Erfüllung bestimmter Datenschutzforderungen herangezogen werden können, sollte es jetzt nicht auch möglich sein, im Zusammenhang mit dem BDSG zu treffende organisatorische Maßnahmen zum Erkennen und Ausschöpfen von Rationalisierungspotentialen zu nutzen?

Aufgrund der Vielzahl und Vielfalt der zu treffenden Regelungen wird sich diese Frage nicht a priori verneinen lassen. So wirken sich die im Gesetz formulierten Aufgaben unmittelbar auf die formale Aufbau- und Ablauforganisation einer Unternehmung aus; darüber hinaus sind sogar Auswirkungen auf die informale Struktur zu erwarten.

Auch im Gesetz bereits recht konkret beschriebene oder direkt ableitbare Aktivitäten (zum Beispiel im Pflichtenkatalog des Normadressaten gegenüber dem Betroffenen, den expliziten Aufgabenstellungen des Datenschutzbeauftragten und dem Datensicherungskatalog nach ° 6 und seiner Anlage) haben organisatorische Relevanz und bieten Ansatzpunkte für Schwachstellenanalysen und Reorganisation, so die Aufgaben der Dateierhebung Dokumentationspflicht und so weiter.

Darüber hinaus entstehen bei der Implementierung des Gesetzes organisatorische "Abfallprodukte", deren nicht zu unterschätzender Wert bei vorurteilsfreier und über den bloßen Datenschutzaspekt hinausgehender Betrachtung deutlich wird. Dazu nur ein Beispiel: Die Feststellung der "Befugnis" zur Verwendung sensibler Daten durch eine Stelle setzt deren Aufgabenbeschreibung und das Vorhandensein von Kommunikationsvorschriften voraus. Diese Unterlagen sind zu erstellen, da selbst dann, wenn sie nicht vorhanden sind, die Forderung gegenüber dem Normadressaten bestehenbleibt, seine Befugnis im Konfliktfall nachzuweisen. Wird die Erstellung fehlender Unterlagen oder die Pflege bereits vorhandener unter weitergehenden organisatorischen Aspekten durchgeführt, so sind heute kaum vermutete Rationalisierungspotentiale zu erschließen.

Diese wenigen Beispiele sollten verdeutlicht haben, in welchem beachtenswerten Umfang Maßnahmen, die im Zusammenhang mit der Vorbereitung und Durchführung des Datenschutzes zu treffen sind, entweder direkt oder nach nur geringer Verbreiterung des Blickwinkels zu einer langfristig wirkenden Verbesserung der Wirtschaftlichkeit einer Unternehmung dienen können. Um eine möglichst hohe Effektivität dieser Maßnahmen bzw. der sie vorbereitenden Aktivitäten zu erzielen, erscheint es sehr sinnvoll, einen Koordinierungsausschuß einzusetzen, in dem die mittlere Führungsebene der Fachbereiche zusammengefaßt ist. Wird dieser Ausschuß der vorgeschriebenen Datenschutzstelle beigeordnet, so läßt sich nicht nur ein hoher Grad von Redundanzfreiheit zu planender und durchzuführender Aktivitäten und damit Kostenersparnisse realisieren. Durch das in diesem Ausschuß vorhandene Fachwesen, der hier zusammenfließen den Informationen und deren Verknüpfung mit Daten, die vom betrieblichen Datenschutzbeauftragten per legem zu erheben sind, wird sich neben der Redundanzfreiheit eine höhere Innovationsrate und Qualität der zu entwickelnden organisatorischen Lösungen erzielen lassen.

Sicherlich ist ein ausgeübter Zwang zur Organisation nicht die beste Motivation. Andererseits ist folgendes zu berücksichtigen: Wird das BDSG nicht ausschließlich als "Kostengesetz", sondern ebenfalls als "Organisationsgesetz" gesehen, so wird frühzeitig die Wende einer bereits zu beobachtenden Tendenz der Verflachung geplanter Datenschutzmaßnahmen eingeleitet, wodurch sich die sonst notwendige Verschärfung der Bestimmungen durch den Gesetzgeber verhindern läßt.

Fazit: Das Gesetz ist eine Realität - es gilt das Beste daraus zu machen.

Prof. Dr. Erwin Grochla ist Geschäftsführender Direktor des BIFOA - Betriebswirtschaftliches Institut für Organisation und Automation an der Universität zu Köln.