Daten­schutz­be­auf­tragte in Unter­nehmen

Viele der Bei­träge hier im Blog zeigen eines ganz deutlich: Ohne einen Ver­ant­wort­lichen wird es kein umfas­sendes Sicher­heits­ma­nagement geben.

Das Problem begegnet mir immer wieder: Auf­ge­schreckt durch aktuelle Mel­dungen über Sicher­heits­lücken etc. regiert in Unter­nehmen kurz­zeitig Hektik. Ein­zelne Aspekte des Daten­schutzes bzw. der Daten­si­cherheit landen detail­liert im Fokus der Geschäfts­leitung. Ist die Kuh vom Eis – manchmal genügt es auch einfach zu warten – landet das Thema wieder ganz hinten in der Prio­ri­tä­ten­liste.

Die Lösung ist eigentlich einfach und wurde in diversen Blog­bei­trägen bereits emp­fohlen: Defi­nieren Sie einen Ver­ant­wort­lichen für das Thema Daten­schutz und Daten­si­cherheit. Der Gesetz­geber schlägt hier den Daten­schutz­be­auf­tragten vor. Ganz nebenbei erfüllen Sie damit auch noch eine gesetz­liche Ver­pflichtung aus dem Bun­des­da­ten­schutz­gesetz. Unter­nehmen ab einer Größe von mehr als 9 Per­sonen, die ständig mit auto­ma­ti­sierter Daten­ver­ar­beitung beschäftigt sind, müssen einen Daten­schutz­be­auf­tragten bestellen.

Vor­aus­set­zungen

Da es sich beim Daten­schutz­be­auf­tragten um ein unab­hän­giges Kon­­troll- und Bera­tungs­organ handelt, dürfen weder Mit­glieder der Geschäfts­leitung noch IT-Leiter oder die (ein­zigen) IT-Admi­­nis­­tra­­toren zu Daten­schutz­be­auf­tragten bestellt werden. Diese würden sich ja sonst selbst kon­trol­lieren bzw. beraten.
Das wich­tigste Vor­aus­set­zungs­merkmal ist die Fach­kunde. Und hier scheitert es oft in der Praxis.

Fach­kunde

Die Aus­prägung der im Gesetz als Vor­aus­setzung genannten Fach­kunde wurde bereits 1990 vom Land­ge­richt Ulm for­mu­liert:

• Kenntnis der Daten­schutz­ge­setze des Bundes und der Länder sowie aller sons­tigen ein­schlä­gigen Vor­schriften ein­schließlich deren Anwendung
• Kenntnis der betrieb­lichen Orga­ni­sation
• Exper­ten­wissen im Com­­puter-/IT-Bereich
• didak­tische Fähig­keiten und psy­cho­lo­gi­sches Ein­füh­lungs­ver­mögen
• Orga­ni­sa­ti­ons­talent und Kon­flikt­fä­higkeit

Die Daten­schutz­auf­sichts­be­hörden haben 2010 diese Aus­prä­gungen im Wesent­lichen bestätigt.

Und hier fängt das Dilemma an. Gibt es eine Person mit diesen Vor­aus­set­zungen im Unter­nehmen über­haupt? Falls ja, wird diese Person nicht für andere (aus Sicht der Geschäfts­leitung manchmal zu über­setzen mit: „wich­tigere“) Themen ein­ge­setzt?

Letztlich wird jemand zum Daten­schutz­be­auf­tragten bestellt, der die oben auf­ge­führten Fähig­keiten nicht mit­bringt. Ein solcher Alibi-Daten­­schut­z­­be­auf­­tragter bringt Sie aller­dings kein Stück weiter.

Wahl­mög­lich­keiten

Grund­sätzlich können Sie frei wählen, ob Sie einen internen Mit­ar­beiter zum Daten­schutz­be­auf­tragten bestellen und ihn ent­spre­chend aus- und wei­ter­bilden. Sehr gute Semi­nar­an­gebote gibt es von diversen Anbietern. Denken Sie aber auch daran, dem internen Daten­schutz­be­auf­tragten Zeit für seine Tätigkeit ein­zu­räumen! Oder Sie ver­geben die Tätigkeit des Daten­schutz­be­auf­tragten an einen externen Dienst­leister. Das kostet zwar Geld, dafür bekommen Sie aber einen kom­pe­tenten Daten­schützer. Und oft ist es nur von Vorteil, wenn eine externe Person die Pro­zesse im Unter­nehmen beleuchtet und bewertet. „Betriebs­blindheit“ wird so ver­mieden.

Werben Sie damit

Der Auf­schrei in den Medien zu Prism und Tempora zeigt mir, dass die Sen­si­bi­lität zum Thema Daten­schutz in unserer Gesell­schaft zunimmt. Diese Ent­wicklung wird vor Ihren Kunden nicht halt­machen. Nutzen Sie also durchaus Ihre Maß­nahmen zu Daten­schutz und Daten­si­cherheit für werb­liche Zwecke, ganz nach dem Motto „Tue Gutes und rede darüber“. Machen Sie Ihren Daten­schutz­be­auf­tragten bekannt und plat­zieren Sie ihn als Ansprech­partner für inter­es­sierte Kunden, z.B. auf Ihrer Homepage.

Bild:  © Rainer Sturm / pixelio.de