Probleme mit Compliance
Kritik an neuem Datenschutzgesetz
CIO: Wieso handelt der Innenminister mit der Novellierung Ihrer Meinung nach „blindwütig"?
Jens Nebel: Blindwütig ist die technische Art und Weise der Umsetzung. Es sind sicherlich viele Ansätze dabei, die man grundsätzlich mittragen kann. Das Problem, mit dem wir Juristen uns hinterher herum schlagen müssen, ist aber, dass der politische Wille, der hinter einer Gesetzesänderung steht, nicht gleichbedeutend ist mit dem Gesetz. Da kommt es darauf an, dass das, was man wollte, im Gesetzestext auch entsprechend umgesetzt worden ist - und dass es handhabbar ist. Beim Bundesdatenschutzgesetz haben wir es mit einer Materie zu tun, die in der Praxis unheimlich viele Probleme aufwirft. Es ist völlig unklar, wie sich die geplanten Änderungen in der Praxis auswirken und in welchem Sinnzusammenhang sie zu bisherigen Gesetzen stehen. Da ist sehr vieles ungeklärt und im Graubereich. Der Gesetzentwurf ist sehr undurchsichtig, für Laien völlig unverständlich, und für einen Juristen alles andere als ein Kinderspiel.
Unternehmen können kaum gegen Mitarbeiter vorgehen
CIO: Wie ist der Stand des Verfahrens?
Der Referententwurf ist noch nicht vom Kabinett verabschiedet. Offenbar will die Bundesregierung erst im Herbst weiter über das Thema beraten.
CIO: Was sind Ihre Hauptkritikpunkte?
Jens Nebel: An vielen Stellen wurden Positionen von Datenschützern, insbesondere der datenschutzrechtlichen Aufsichtsbehörden, mehr oder weniger unreflektiert ins Gesetz übernommen. Diese vertreten in der Regel eine sehr restriktive Position. Das ist nun mal deren Job. Gleichwohl muss man das Gesamtbild sehen, und es gibt sehr valide Interessen der Wirtschaft für bestimmte Vorgänge. Unternehmen sind ja dazu verpflichtet, Vorkehrungen gegen bestimmte Risiken zu treffen. Da legt der aktuelle Gesetzentwurf den Unternehmen aber erhebliche Steine in den Weg.
Die Umsetzung von Compliance-Richtlinien, die Einhaltung gesetzlicher Anforderungen, zum Beispiel an die IT-Sicherheit und - paradoxerweise - auch an den Datenschutz, würde damit deutlich schwerer fallen. Ein Beispiel: Wie soll der Compliance-Beauftragte einer Firma überprüfen, ob ein Mitarbeiter beispielsweise regelmäßig Gelder auf die Caymans transferiert, wenn er selbst bei erheblichen Verdachtsmomenten die Zahlungen nicht personenbezogen zum Täter zurückverfolgen darf?
Ein anderes Beispiel: Der Einblick in Mails, Faxe und Telefongespräche der Mitarbeiter, um mögliche Rechtsverstöße zu kontrollieren, wird verboten - jedenfalls wenn Mitarbeiter diese Medien auch für private Zwecke nutzen dürfen. Der Arbeitgeber rutscht hier in die gleiche datenschutzrechtliche Verantwortlichkeit wie ein IT-Serviceprovider, etwa T-Online. Er muss also das Fernmeldegeheimnis beachten, was dazu führt, dass übliche Compliance-Maßnahmen wie etwa die stichprobenhafte Auswertung des E-Mail-Verkehrs auf einmal unzulässig und sogar strafbar werden. Aber: Unternehmen können dann kaum mehr gegen Mitarbeiter vorgehen, die im Internet strafbare Äußerungen machen oder die sich Kinderpornoseiten anschauen. Die Empfehlung kann dann nur noch lauten, die Privatnutzung von dienstlichen Telekommunikationsmitteln kategorisch zu verbieten. Das ist im Einzelfall rechtlich aber nicht immer möglich, wenn sich eine Privatnutzung bereits etabliert hat. Die technische Trennung der privaten und beruflichen Nutzung ist hingegen meist zu teuer und zu aufwändig.