Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

30.11.1990

Unternehmen müssen fachkundige Datenschutzbeauftragte bestellen

Im März 1991 tritt das neue Bundesdatenschutzgesetz (BDSG) in Kraft. Der Gesetzgeber hat darin die Bedingungen für eine datenschutzkonforme Verarbeitung präzisiert. Dem Datenschutzbeauftragten kommt bei ihrer Realisierung eine Schlüsselfunktion zu. Diese kann er nur ausfallen, wenn er neben einschlägigen Gesetzeskenntnissen auch die Fähigkeit hat, die Möglichkeiten der modernen Datenverarbeitung zu durchschauen.

Zur aktuellen Situation: Die Frage, wer in welcher Position als "betrieblicher" Datenschutzbeauftragter in Frage kommt, beginnt Anwälte und Informatiker in zwei Lager zu spalten. Mit dem Argument, nur Juristen könnten die zahlreichen, zunehmend auch für verschiedene Rechtsbereiche spezifisch geregelten Datenschutzbestimmungen richtig anwenden, reklamieren Anwälte für sich das Amt des Datenschutzbeauftragten.

Demgegenüber verweisen Informatiker darauf, daß sie am besten die Gefahren abschätzen könnten, die aus den neuen Technologien für den Datenschutz resultieren. Somit seien sie aufgrund ihrer Fachkenntnis primär in der Lage, rechtzeitig Gefährdungen für Betroffene zu erkennen und ihnen wirksam zu begegnen.

Interessant ist in diesem Zusammenhang die folgende Stellungnahme des Bundestagsabgeordneten und Juristen Lüder: "Datenschutz ist fachübergreifend und nicht einer traditionellen Disziplin zuzuordnen. Deshalb halte ich auch wenig davon, die Datenschutzaufgabe zu einer Fachrichtung zu machen, etwa nach dem Motto: Juristen können alles, aber sie sind Partei für die Interessen, die sie zu vertreten haben. Datenschutz muß sich um Objektivität bemühen. Deshalb halte ich es für besser, daß Datenfachleute sich dieser Aufgabe annehmen. Sie sollten aber juristisch - auch über das Datenschutzrecht hinaus - geschult sein, um ihre Aufgaben verantwortlich erfüllen zu können." Soweit "gebündelt" der Meinungsstand.

Die heftige Kontroverse um die Frage nach dem geeigneten "betrieblichen" Datenschutzbeauftragten ist einerseits durch die Neufassung des BDSG entbrannt. Aufgrund seines gesetzlich vorgegebenen Pflichtenkatalogs im Zusammenhang mit dem rapide fortschreitenden Einsatz neuer Technologien wie der Vernetzung rechnergestützter Konstruktion und NC-Programmierung zeichnet sich deutlich ab, daß seine Aufgaben nicht mehr wie bislang vielfach geschehen, von einem Mitarbeiter als "Nebenjob" wahrgenommen werden können. Andererseits haben inzwischen Geschäftsleitungen entdeckt, daß die firmeninterne Sicherstellung des Datenschutzes eine selbstverständliche Pflicht im eigenen Interesse ist.

Es sind zunehmend eigene Mitarbeiter, die zum Nutzen in- und ausländischer Konkurrenzfirmen zum Beispiel im kaufmännischen Bereich computergespeicherte Kalkulationen, Bilanzen, Kundenadressen und Arbeitnehmerdaten sowie im technischen Bereich Entwicklungs- und Forschungsdaten unauffällig kopieren. Aus der Sicht der Unternehmer müssen deshalb personenbezogene und sonstige Daten wegen ihres hohen wirtschaftlichen Wertes gleichermaßen geschätzt werden. Die Unternehmenserwartungen treffen sich an dieser Schnittstelle mit den Datenschutzanforderungen. Schließlich tragen auch Datenschutzmaßnahmen zur Optimierung von Betriebsabläufen und zur Vorbeugung von Datenspionage oder Datenmanipulation bei. Damit ist das Interesse der Firmen an fähigen Datenschutzbeauftragten, die den Datenschutz verantwortlich in die organisatorische und technische Infrastruktur der Firma umsetzen, erheblich gestiegen.

Datenschutz ist nicht länger nur vom Gesetz gefordert, sondern auch im Firmeninteresse eine wichtige Aufgabe. Die Position des betrieblichen Datenschutzbeauftragten erhält damit einen hohen Stellenwert und eröffnet interessante berufliche Perspektiven, wie dies die Auseinandersetzung zwischen Anwälten und Informatikern auch vermuten läßt.

Welche Qualifikation der Beauftragte letztendlich aber haben muß, kann nur nach den Anforderungen, die der Gesetzgeber aufgestellt hat, entschieden werden. Erst danach stellt sich die Frage, ob es effektiver und kostengünstiger ist, einen externen - etwa bei mittelständischen Betrieben - oder einen internen Beauftragten zu bestellen. Zum Pro und Kontra in dieser Frage sei auf den Dialog von Ehmann (siehe CW Nr. 42/90, Seite 40) und Kongehl (siehe CW Nr. 46/90, Seite 8) in dieser Zeitschrift verwiesen.

Auch nach der Neuregelung muß die speichernde Stelle einen Datenschutzbeauftragten bestellen, sofern in der Regel mindestens fünf Arbeitnehmer ständig mit der Verarbeitung personenbezogener Daten beziehungsweise deren 20 mit der manuellen Verarbeitung dieser Daten beschäftigt sind. Rechtlicher Anknüpfungspunkt ist aber nicht die Einheit Betrieb, sondern das Unternehmen beziehungsweise solche natürlichen oder juristischen Personen, die beruflich, gewerblich oder geschäftsmäßig Daten verarbeiten (Paragraph 27, Absatz 1). Nach der Neufassung hat der Datenschutzbeauftragte gegenüber der speichernden Stelle Anspruch auf:

- eine bessere sachliche und personelle Ausstattung (Paragraph 36, Absatz 5),

- rechtzeitige Unterrichtung über Vorhaben der automatisierten Verarbeitung von personenbezogenen Daten (Paragraph 37, Absatz 1, Nr. 1),

- Gewährung von Übersichten über eingesetzte EDV-Anlagen, Bezeichnung und Art der Dateien, Art der gespeicherten Daten und der entsprechenden Geschäftszwecke, der regelmäßigen Datenempfänger und der zugriffsberechtigten Personen (Paragraph 37, Absatz 2).

Besonders hervorzuheben bleibt der umstrittene Kündigungsschutz (Paragraph 36, Absatz 3, Satz 4), der sowohl für die internen wie die externen Datenschutzbeauftragten Geltung hat. Danach kann die Bestellung des Beauftragten nur noch auf Verlangen der Aufsichtsbehörde oder vom Arbeitgeber in entsprechender Anwendung der Vorschriften zur außerordentlichen Kündigung (Paragraph 626 BGB) dann widerrufen werden, wenn er nicht die erforderliche Zuverlässigkeit und Fachkunde besitzt (Paragraph 36, Absatz 3 und Paragraph 38, Absatz 5).

Folgende gesetzliche Neuerungen tangieren ebenfalls mittelbar beziehungsweise unmittelbar den Aufgabenbereich des Datenschutzbeauftragten:

- Verbot einzelner Datenverarbeitungsverfahren durch die Aufsichtsbehörde, wenn ein Betrieb schwerwiegende Mängel bei Datensicherungsmaßnahmen (Paragraph 9, bislang Paragraph 6) nicht abstellt,

- Konkretisierung und Erweiterung der Datensicherungsmaßnahmen in der Anlage zu Paragraph 9, Satz 1,

- Datenträgerkontrolle, die, neben einem Diebstahl-, Lese- und Veränderungsschutz, auch einen Kopierschutz enthält (Nr. 2),

- Benutzerkontrolle, die bei allen Systemen zu gewährleisten ist, und nicht nur, wenn personenbezogene Daten durch selbsttätige Anlagen (im Online-Betrieb) verarbeitet werden (Nr. 4),

- Zugriffskontrolle, die gegen alle Arten eines unberechtigten Zugriffs und nicht nur bei selbsttätigen Anlagen zu gewährleisten ist (Nr. 5),

- Transportkontrolle, die neben dem Lese-, Veränderungs- und Löschungsschutz auch einen Kopierschutz notwendig macht (Nr. 9).

Welche Folgerungen sind nun aus den Neuregelungen zu ziehen?

Der Datenschutzbeauftragte ist bei der Anwendung seiner Fachkunde weisungsfrei und darf von der Geschäftsleitung weder zur Untersuchung noch zur Ignorierung datenschutzrelevanter Vorgänge angewiesen werden.

Der vorgesehene Kündigungsschutz dient der Stärkung seiner persönlichen Unabhängigkeit gegenüber Arbeitgebern und Auftraggebern, die bislang von Betroffenen und Betriebsräten in Zweifel gezogen wurde, so daß sie ihn manches Mal eher als Datenschutzabwehr-Beauftragten denn als Datenschützer apostrophierten.

Daß der Gesetzgeber mit dem vorgesehenen Kündigungsschutz das richtige Instrumentarium gewählt hat, zeigt die ausgebrochene Debatte, wonach einerseits in der Neuregelung eine Effektuierung der Datenschutztätigkeit gesehen wird, andererseits die Überlegung in den Raum gestellt wird: Wie schätze ich Firmen vor einem "unkündbaren" Datenschutzbeauftragten? Sollte die Schlüsselfrage hier nicht eher lauten: Wo finden Firmen einen geeigneten Datenschutzbeauftragten? Folgende Überlegungen weisen in diese Richtung.

Der Sicherstellung des Datenschutzes in den Firmen dient der Ausbau einer bisher eher bescheidenen Position der Aufsichtsbehörden. Beruft die Geschäftsleitung in Zukunft einen ungeeigneten Beauftragten oder läßt es dieser an der erforderlichen Objektivität bei der Wahrnehmung seiner Aufgaben fehlen, dann hängt über beiden das Damoklesschwert der Aufsichtsbehörde: Die Geschäftsleitung muß die Bestellung des Beauftragten widerrufen, dieser muß seinen "Hut" nehmen für beide Seiten eine unerfreuliche und nicht gerade auffordernde Angelegenheit. Geschäftsleitungen werden daher auch unter diesem Blickwinkel ein großes Interesse an fachkundigen Beauftragten haben. Aber wer ist fachkundig? Das Gesetz gibt darüber nur indirekt, nämlich über den Aufgabenkatalog des Beauftragten, Auskunft.

Danach benötigt der Beauftragte unbestrittenerweise einschlägige Rechtskenntnisse. Nach den genannten Neuregelungen muß er aber auch die möglichen Konsequenzen für den Datenschutz bei Anschaffung und Einsatz von EDV-Systemen übersehen können. Es reicht also nicht aus, daß er allgemein auf Risiken hinweist.

Viel zu groß ist die Abhängigkeit der Firmen von den neuen Technologien, als daß sie auf ihren Einsatz verzichten und das Verbot einzelner Verfahrensweisen beziehungsweise eines ganzen Systems durch die Aufsichtsbehörde riskieren könnten. Sie benötigen daher rechtzeitigen Rat, ob beispielsweise geplante Systeme datenschutzgerecht eingesetzt werden können. Von hoher Relevanz ist unter anderem auch die Frage der Datensicherheit bei der Verwendung von Personal Computern, die den Mitarbeitern den Zugang zu nahezu allen im Unternehmen verarbeiteten Informationen eröffnen - es sei denn, ihnen wird diese Möglichkeit durch geeignete Sicherheitssoftware verbaut.

Der Datenschutz hat nur dann eine Chance, wenn seine Anforderungen in konkrete betriebliche und technische Vorkehrungen umgesetzt werden. Da es im Zweifel der Informatiker ist, der die Folgen bestimmter Verfahrenseinsätze in der betrieblichen Praxis abschätzen und Vorkehrungen treffen kann, wird sich die Waagschale im Streit um den geeigneten betrieblichen Datenschützer zu seinen Gunsten senken, vorausgesetzt er hat einschlägige Rechtskenntnisse. Dies gilt natürlich vice versa auch für einen Juristen, wenn er profunde EDV-Kenntnisse vorweisen kann. Eine originäre Aufgabe des Anwaltes ist die Sicherstellung des Datenschutzes in der betrieblichen Praxis daher mit Sicherheit nicht.

Dr. jur. Marie-Theres Tinnefeld lehrt an der TH München Datenschutz für Informatiker

Anmerkungen:

W. Lüder, Diskussionsbeitrag aus der Sicht eines Bundestagsabgeordneten auf einer Datenschutztagung der Theodor-Heuss-Akademie am 18. März 1990; vgl. auch G. Kongehl, Der Rechtsanwalt als "Kuckucksei" des Datenschutzes, CW Nr. 46 vom 16. November 1990, dagegen Ehmann, CW Nr. 42 vom 19. Oktober 1990, S. 42 und Beder, CR 1990, S. 118 ff. Der Verfahrensgang der Aufsichtsbehörde gegenüber Firmen ist dreistufig gestaltet: Werden auf ihre Anordnung hin die Mängel nicht beseitigt, dann erfolgt die Verhängung eines Zwangsgeldes und nötigenfalls die Untersagung des Verfahrenseinsatzes.