DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Daten­schutz­be­auf­tragte in Unter­nehmen

Datenschutzbeauftragter

Viele der Bei­träge hier im Blog zeigen eines ganz deutlich: Ohne einen Ver­ant­wort­lichen wird es kein umfas­sendes Sicher­heits­ma­nagement geben.

 

 

Das Problem begegnet mir immer wieder: Auf­ge­schreckt durch aktuelle Mel­dungen über Sicher­heits­lücken etc. regiert in Unter­nehmen kurz­zeitig Hektik. Ein­zelne Aspekte des Daten­schutzes bzw. der Daten­si­cherheit landen detail­liert im Fokus der Geschäfts­leitung. Ist die Kuh vom Eis – manchmal genügt es auch einfach zu warten – landet das Thema wieder ganz hinten in der Prio­ri­tä­ten­liste.

Die Lösung ist eigentlich einfach und wurde in diversen Blog­bei­trägen bereits emp­fohlen: Defi­nieren Sie einen Ver­ant­wort­lichen für das Thema Daten­schutz und Daten­si­cherheit. Der Gesetz­geber schlägt hier den Daten­schutz­be­auf­tragten vor. Ganz nebenbei erfüllen Sie damit auch noch eine gesetz­liche Ver­pflichtung aus dem Bun­des­da­ten­schutz­gesetz. Unter­nehmen ab einer Größe von mehr als 9 Per­sonen, die ständig mit auto­ma­ti­sierter Daten­ver­ar­beitung beschäftigt sind, müssen einen Daten­schutz­be­auf­tragten bestellen.

Vor­aus­set­zungen

Da es sich beim Daten­schutz­be­auf­tragten um ein unab­hän­giges Kon­­troll- und Bera­tungs­organ handelt, dürfen weder Mit­glieder der Geschäfts­leitung noch IT-Leiter oder die (ein­zigen) IT-Admi­­nis­­tra­­toren zu Daten­schutz­be­auf­tragten bestellt werden. Diese würden sich ja sonst selbst kon­trol­lieren bzw. beraten.
Das wich­tigste Vor­aus­set­zungs­merkmal ist die Fach­kunde. Und hier scheitert es oft in der Praxis.

Fach­kunde

Die Aus­prägung der im Gesetz als Vor­aus­setzung genannten Fach­kunde wurde bereits 1990 vom Land­ge­richt Ulm for­mu­liert:

  • Kenntnis der Daten­schutz­ge­setze des Bundes und der Länder sowie aller sons­tigen ein­schlä­gigen Vor­schriften ein­schließlich deren Anwendung
  • Kenntnis der betrieb­lichen Orga­ni­sation
  • Exper­ten­wissen im Com­­puter-/IT-Bereich
  • didak­tische Fähig­keiten und psy­cho­lo­gi­sches Ein­füh­lungs­ver­mögen
  • Orga­ni­sa­ti­ons­talent und Kon­flikt­fä­higkeit

Die Daten­schutz­auf­sichts­be­hörden haben 2010 diese Aus­prä­gungen im Wesent­lichen bestätigt.

Und hier fängt das Dilemma an. Gibt es eine Person mit diesen Vor­aus­set­zungen im Unter­nehmen über­haupt? Falls ja, wird diese Person nicht für andere (aus Sicht der Geschäfts­leitung manchmal zu über­setzen mit: „wich­tigere“) Themen ein­ge­setzt?

Letztlich wird jemand zum Daten­schutz­be­auf­tragten bestellt, der die oben auf­ge­führten Fähig­keiten nicht mit­bringt. Ein solcher Alibi-Daten­­schut­z­­be­auf­­tragter bringt Sie aller­dings kein Stück weiter.

Wahl­mög­lich­keiten

Grund­sätzlich können Sie frei wählen, ob Sie einen internen Mit­ar­beiter zum Daten­schutz­be­auf­tragten bestellen und ihn ent­spre­chend aus- und wei­ter­bilden. Sehr gute Semi­nar­an­gebote gibt es von diversen Anbietern. Denken Sie aber auch daran, dem internen Daten­schutz­be­auf­tragten Zeit für seine Tätigkeit ein­zu­räumen! Oder Sie ver­geben die Tätigkeit des Daten­schutz­be­auf­tragten an einen externen Dienst­leister. Das kostet zwar Geld, dafür bekommen Sie aber einen kom­pe­tenten Daten­schützer. Und oft ist es nur von Vorteil, wenn eine externe Person die Pro­zesse im Unter­nehmen beleuchtet und bewertet. „Betriebs­blindheit“ wird so ver­mieden.

Werben Sie damit

Der Auf­schrei in den Medien zu Prism und Tempora zeigt mir, dass die Sen­si­bi­lität zum Thema Daten­schutz in unserer Gesell­schaft zunimmt. Diese Ent­wicklung wird vor Ihren Kunden nicht halt­machen. Nutzen Sie also durchaus Ihre Maß­nahmen zu Daten­schutz und Daten­si­cherheit für werb­liche Zwecke, ganz nach dem Motto „Tue Gutes und rede darüber“. Machen Sie Ihren Daten­schutz­be­auf­tragten bekannt und plat­zieren Sie ihn als Ansprech­partner für inter­es­sierte Kunden, z.B. auf Ihrer Homepage.

Bild:  © Rainer Sturm / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Bosch, DATEV eG

Abschluss der Aus­bildung mit dem zweiten juris­ti­schen Staats­examen 1997. Seitdem in unter­schied­lichen Bereichen bei der DATEV eG in Nürnberg tätig. Prak­tische Erfahrung im IT-Umfeld hat er ins­be­sondere in seiner zehn­jäh­rigen Tätigkeit in der Soft­ware­ent­wicklung gesammelt. Hierbei war er u.a. mit der Ein­richtung und Aktua­li­sierung von Netz­werk­um­ge­bungen in Steu­er­be­rater- und Rechts­an­walts­kanz­leien betraut. Seit fünf Jahren ist Bernd Bosch als externer Daten­schutz­be­rater für Kanz­leien tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.