on
– 19 –
selbständig Tätige mit nur wenigen Mitarbeitern entlastet
hätten. Hier wäre nicht nur daran zu denken gewesen, die
Möglichkeit zur Bestellung externer Datenschutzbeauftragter auszubauen und rechtlich weiter abzusichern.
Vielmehr wäre auch zu überlegen, ob nicht in den berufsständischen Organisationen und Verbänden, wie etwa den
Handwerksinnungen, Kammern und Berufsverbänden für
die jeweiligen Mitglieder betriebliche Datenschutzbeauftragte vorgesehen werden könnten, die dann kompetent
und fachspezifisch die interne Datenschutzberatung und
-kontrolle für ihre Mitglieder auf deren Wunsch hin
durchführen.
Faktisch läuft die Gesetzesänderung auf eine Reduzierung des Datenschutzes in dem entsprechenden Bereich
hinaus. Formal sind zwar nur die Meldepflicht und die
Bestellpflicht für betriebliche Datenschutzbeauftragte
entfallen, die rechtlichen Datenschutzanforderungen aber
bestehen geblieben. Die Leitung der verantwortlichen
Stelle muss nun selbst sicherstellen, was nach dem Gesetz
Aufgabe des betrieblichen Datenschutzbeauftragten war,
wie der während der parlamentarischen Beratung neu eingefügte § 4f Abs. 2a BDSG ausdrücklich bestimmt. Dies
ist aber dann keine Entlastung, sondern eher eine zusätzliche Belastung der Verantwortlichen. Es ist deswegen zu
erwarten, dass die Änderung des Gesetzes dahingehend
missverstanden wird, die datenschutzrechtlichen Anforderungen seien für die betroffenen Klein- und Kleinstbetriebe reduziert worden, denn entsprechende Defizite
können in der Regel durch externe Kontrolle der Aufsichtsbehörden nicht identifiziert und ggf. sanktioniert
werden.
Dabei setzt aber gerade der Einsatz moderner Technologien, z. B. beim elektronischen Zahlungsverkehr, beim
Einsatz von Kundenkarten und künftig von Gesundheitskarte und elektronischem Ausweis das Vertrauen der Nutzer in eine datenschutzkonforme Ausgestaltung und in die
Einhaltung des Datenschutzrechts bei den entsprechenden
Stellen voraus. Die Reduktion der internen Datenschutzkontrolle könnte sich deswegen im Hinblick auf Einführung und Ausbau der neuen Technologien als kontraproduktiv erweisen.
2.4
Datenschutzaudit – Regelung dringend
geboten
Keine Bewegung beim Auditgesetz, eine Chance für modernen Datenschutz bleibt weiter ungenutzt.
Dass es ein bundesweit gültiges Datenschutzaudit geben
soll, hatte der Deutsche Bundestag bereits im Jahre 2001
beschlossen und deswegen mit der Novelle des Bundesdatenschutzgesetzes vom 18. Mai 2001 (BGBl. I S. 904)
§ 9a in das BDSG eingefügt (vgl. 19. TB Nr. 3.2.1). Nur
das Wie, d. h. die näheren Anforderungen an die Prüfung
und Bewertung, das Verfahren sowie die Auswahl und
Zulassung der Gutachter sollte noch durch ein besonderes
Gesetz geregelt werden (§ 9a Satz 2 BDSG). Dabei ist es
bis heute geblieben.
Über die Bedeutung des Audits für einen modernen, zukunftsorientierten Datenschutz und die Gefahr, der einge-
tretene Stillstand könne diesen wichtigen Ansatz entwerten, habe ich bereits mehrfach berichtet (19. TB Nr. 3.2.1;
20. TB Nr. 2.2). Obwohl der Deutsche Bundestag in seiner Entschließung zu meinem 19. Tätigkeitsbericht vom
17. Februar 2005 (Bundestagsdrucksache 15/4597; vgl.
Kasten zu Nr. 2.4) mit großer Mehrheit die Bundesregierung aufgefordert hat, noch in der laufenden Legislaturperiode ein Ausführungsgesetz zu § 9a BDSG vorzulegen, gibt es bislang noch nicht einmal einen
Referentenentwurf oder auch nur ein Eckpunktepapier für
eine mögliche Regelung. Auch eine Initiative aus dem
parlamentarischen Raum, von der ich in meinem 20. TB
(a. a. O.) berichtet hatte, ist offensichtlich nicht weiterverfolgt worden.
K a s t e n zu Nr. 2.4
Aus der Entschließung des Deutschen Bundestages
zum 19. Tätigkeitsbericht vom 17. Februar 2005,
Bundestagsdrucksache 15/4597:
„...
2. Der Deutsche Bundestag erwartet, dass die Bundesregierung noch in dieser Legislaturperiode ein Ausführungsgesetz zu § 9a des Bundesdatenschutzgesetzes vorlegt, damit dieses wichtige Element der
jüngsten Novellierung nicht weiter leer läuft. Dabei
ist einer möglichst unbürokratischen Lösung der
Vorzug zu geben, die sich an den realen Interessen
der Anbieter und Verbraucher orientiert (19. TB
Nr. 3.2.1).
...“
Dieses jahrelange Zögern, ein im Grundsatz bereits vom
Parlament beschlossenes Verfahren auch praktisch umzusetzen, bleibt unverständlich. Verwaltungsmodernisierung, Effizienzsteigerung, Entbürokratisierung sind heute
Leitlinien des politischen und gesetzgeberischen Handelns. Das Datenschutzaudit würde sich in solche Konzepte nahtlos einfügen, weil es den Datenschutz bereits in
die Konzeption von Verfahren und Produkten einbezieht
und datenschutzfreundliches Verhalten wirtschaftlich belohnt. Damit könnte es zu einem wichtigen Element der
Selbstregulierung und des wirksamen Verbraucherschutzes werden, ohne dass es hierfür neuer staatlicher Bürokratie bedürfte. Es gibt bereits eine Vielzahl von Modellen und Kriterien für die an ein Audit zu stellenden
Anforderungen, für das Vergabeverfahren und für die
Auswahl und Bestellung von Gutachtern, an die angeknüpft werden könnte, um rasch und effizient ein unbürokratisches Datenschutzaudit zu schaffen. Auch die Nachfrage in der Wirtschaft hiernach ist groß, insbesondere in
den Bereichen IT und Internet. Dies belegen Erfahrungen
auf Landesebene, wo es für die Verwendung in der Landesverwaltung ein solches Audit bereits gibt. Auch bei
mir wird aus der Wirtschaft immer wieder nachgefragt,
wann endlich mit einem Datenschutzaudit nach
§ 9a BDSG gerechnet werden könne.
BfDI 21. Tätigkeitsbericht 2005-2006