Die gesetzlichen Bestimmungen im Datenschutz sind unüberschaubar geworden. Außerdem müssen Aspekte wie IT-Technik, Effizienz und Dokumentation beachtet werden. Der IHK-Anwenderclub „Datenschutz und Informationssicherheit“ sorgt für Orientierung. Von Gerd Schmidt
Einen Quantensprung machte die Datenverarbeitung, als das sogenannte „Lochkartenverfahren“ nach Herman Hollerith durch elektronische Speichermedien (z.B. Magnetplatten und Magnetbänder) abgelöst wurde. Mit dieser neuartigen Technologie nahmen ab den 1960er Jahren nicht nur die Geschwindigkeit und das Volumen der Datenverarbeitung rasant zu, sondern auch das damit verbundene Risiko beim Umgang mit personenbezogenen Daten.
Der Gesetzgeber reagierte darauf mit dem Bundesdatenschutzgesetz (BDSG), das am 27. Januar 1977 vom Deutschen Bundestag verabschiedet wurde. Das Gesetz nennt drei wesentliche Akteure: Erstens die „Betroffenen“, deren persönliche Daten gespeichert sind und die aufgefordert sind, die Verantwortung für ihre Daten zu tragen und ihre im Grundgesetz verankerten Rechte wahrzunehmen. Zweitens der Staat, der die Einhaltung bei Unternehmen und Behörden kontrolliert. Und drittens die Leiter der Unternehmen und Behörden, die als sogenannte „verantwortliche Stellen“ die Verantwortung für den rechtskonformen Umgang mit den Daten tragen, die ihnen anvertraut sind.
Fast zeitgleich mit der Verabschiedung des BDSG gründeten Datenschutzrechtler im November 1976 die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. mit Sitz in Bonn. Ein Jahr später wurde deren Gemeinnützigkeit anerkannt und der erste Kreis zum Erfahrungsaustausch gegründet. Heute gibt es in Deutschland 27 solcher Erfa-Kreise. 1997 entstand der AnwenderClub „Datenschutz und Informationssicherheit“ der IHK Nürnberg für Mittelfranken, den sie gemeinsam mit der GDD organisiert und der auch als Erfa-Kreis des GDD geführt wird.
Die fast unüberschaubare Zahl von gesetzlichen Bestimmungen im Datenschutz sorgt dafür, dass den Vertretern aus Unternehmen und Behörden, die sich im AnwenderClub treffen, die Themen nicht ausgehen. Aus einer Vorschriftensammlung des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) e.V., die anlässlich der letzten BDSG-Novellierung veröffentlicht wurde, geht hervor, dass allein im Unternehmensbereich ca. 65 datenschutzrechtliche Vorschriften in grundsätzlichen und bereichsspezifischen Gesetzen zu berücksichtigen sind. Für Ratlosigkeit und Verunsicherung in der Praxis sorgt auch, dass die meisten Landesdatenschutzgesetze für den behördlichen Bereich noch nicht dem aktuellen Niveau des BDSG entsprechen. Zudem hinken die Vorschriften der technischen Entwicklung hinterher – Stichworte Mobilkommunikation und soziale Netzwerke. Verkompliziert wird die Lage für den Datenschutzbeauftragten dadurch, dass er Kosten-Nutzenfragen berücksichtigen, auf Effizienz achten und neben den juristischen Aspekten auch technische Fragen klären muss. Darüber hinaus unterliegt der Datenschutzbeauftragte umfangreichen Dokumentationspflichten und sieht sich als „verantwortliche Stelle“ in der Pflicht, die Vorgaben der Aufsichtsbehörde zu erfüllen. In der Praxis muss er also einen Spagat vollführen, um allen Anforderungen zu genügen. Das ist schon deshalb kaum möglich, weil der „typische“ Datenschützer ein „Einzelkämpfer in Teilzeit“ ist, wie aus der Studie „Datenschutzpraxis in Unternehmen 2012“ hervorgeht.
Die Informationstechnologie wird sich weiter rasant fortentwickeln und die schon riesigen „Datensammlungen“ in den sozialen Netzwerken und bei den Suchmaschinenbetreibern werden weiter anwachsen. Damit verbunden ist die Gefahr, dass Profile von Personen erstellt und Bürger gezielt ausgeforscht werden können. Der befürchtete „gläserne Bürger“ wird zur Realität, der „totale Zugriff“ auf diese Datensammlungen durch staatliche Stellen ist nicht mehr abwegig, wie aktuelle Beispiele zeigen.
Reform steht an
Umso wichtiger ist es, dass die Bemühungen für ein einheitliches Datenschutzrecht in Europa zum Erfolg führen. Damit würde auch ein Gegengewicht geschaffen zu Entwicklungen außerhalb Europas, mit denen der Datenschutz ausgehöhlt wird. Die in Arbeit befindliche Datenschutz-Grundverordnung wird deshalb zum wichtigsten Meilenstein für die Reform des Datenschutzrechts. Sie würde auch die unüberschaubar gewordenen Vorschriften vereinfachen und reduzieren. Für Unternehmen und Behörden würde ein identischer Rechtsrahmen geschaffen, der die Grundprinzipien des Datenschutzrechts (enge Zweckbindung der gespeicherten Daten, Interessenabwägung, nur Erhebung von wirklich erforderlichen Daten und Transparenzgebot) berücksichtigt. Die GDD wird die Arbeit an der Datenschutz-Grundverordnung durch eine zentrale Arbeitsgruppe und durch die Einbindung der Erfa-Kreise aktiv unterstützen. Unabhängig davon stehen aufgrund der umfangreichen Erkenntnisse aus den Erfa-Kreisen und durch die intensive Zusammenarbeit mit der Aufsichtsbehörde bereits jetzt praxiserprobte und geeignete Werkzeuge für eine bestmögliche Umsetzung des Datenschutzes in den Unternehmen und Behörden zur Verfügung.
IHK-Anwenderclub Datenschutz
Der IHK-Anwenderclub „Datenschutz und Informationssicherheit“, den die IHK in Kooperation mit der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) organisiert, trifft sich dieser Tage zum 50. Mal, Gastgeber ist die Firma Staedtler Mars GmbH & Co. KG in Nürnberg. Schwerpunktthema der Jubiläumsveranstaltung ist die Prüfungstätigkeit des Bayerischen Landesamtes für Datenschutzaufsicht. Das nächste Treffen des AnwenderClubs findet am Donnerstag, 17. Oktober 2013, 13.30 Uhr, in der IHK statt. Anmeldungen dafür sind ab sofort möglich, auch neue Teilnehmer sind willkommen.
Der IHK-AnwenderClub startete im Jahr 1997, um den Datenschutzbeauftragten in nordbayerischen Unternehmen ein Forum für den Informations- und Erfahrungsaustausch zu geben. Zudem sollte ein unbürokratischer Kontakt zur bayerischen Aufsichtsbehörde in Ansbach geknüpft werden, die im vergangenen Jahr eine nützliche Orientierungshilfe mit dem Titel „Schützen Sie Daten – sicher?“ herausgegeben hat (www.lda.bayern.de, Rubrik „Aktuelles“). Gemeinsam wolle man effektive und praxisorientierte Lösungen für den Datenschutz erarbeiten, die wirtschaftlich vertretbar und technisch realisierbar seien, so Gerd Schmidt, Geschäftsführer der infoSi GmbH & Co. KG in Lauf a.d. Pegnitz, der den AnwenderClub von Beginn an als Moderator leitet. Der gegenseitige Erfahrungsaustausch solle auch dabei unterstützen, sich in der großen Zahl an datenschutzrechtlichen Bestimmungen zurechtzufinden. Der AnwenderClub trifft sich in der Regel dreimal jährlich und betreibt auch eine Online-Plattform (www.gdd.de/nuernberg).
