Aufsichtsbehörden kompromißbereit:

Der EDV-Chef als DSB?

03.02.1978

Als Mitte letzten Jahres der Heinrich-Bauer-Verlag den EDV-Leiter Hans Ulrich, zudem Mitglied der erweiterten Geschäftsleitung, zum Nebenbei-Datenschutzbeauftragten bestellte, fragte der Bauer-Betriebsrat beim hamburgischen Wirtschaftssenator an, ob dergleichen statthaff wäre. Die Antwort derjenigen, die damals "Vorläufer" waren und heute personell die Aufsichtsbehörde der Hansestadt darstellen, war, die Lösung sei "nicht wünschenswert", da ein offenkundiger Interessenkonflikt vorläge. In einer Sitzung der Ländervertretung zwecks Vorbereitung bundeseinheitlicher Datenschutz-Aufsicht wurde diese Position, die zunächst durchaus Ausnahmeregelungen zuließ, gar noch verhärtet. Die Tätigkeiten des EDV-Leiters und des DSB seien "grundsätzlich unvereinbar".

Zwischenzeitlich haben alle dazugelernt. Zwischenzeitlich gab es im Bauer-Verlagshaus ein klärendes Gespräch mit Vertretern der Hamburger Aufsichtsbehörde, bei dem man seitens des Verlages darauf beharrte, daß wegen der erforderlichen Fachkunde der EDV-Leiter die DSB-Funktion wahrnehmen sollte, andererseits man sich aber bereit erklärte, künftig organisatorische Maßnahmen zu treffen und bekanntzugeben, die sicherstellen, daß der EDV-Chef nicht allein sich selber in Fragen der Datensicherheit kontrolliert. Entsprechende Sonderzuständigkeiten sind bereits heute schon vorhanden.

Kein Dogmatismus

Die nunmehr kompromißbereite Haltung der Hamburger Datenschutz-Aufseher wurde mittlerweile in den überregionalen Arbeitskreisen übernommen, wenngleich noch nicht ganz endgültig vereinbart, denn Verwaltungsvorschriften für die Aufsichtsbehörden werden erst im März verabschiedet und veröffentlicht.

Damit siegt gesunder Menschenverstand über Dogmatismus. Wo immer ein Nebenbei-Datenschutzbeauftragter ernannt wird - aus welcher Abteilung auch immer -, gibt es Interessenkonflikte nämlich einen Revisionskonflikt, der bekanntlich dann vorliegt, wenn gegen die Regel verstoßen wird, daß niemand sich selber kontrollieren soll.

Würde etwa ein Vertriebsleiter als Nebenbei-DSB frohen Herzens sein EDV-Vertriebsinformationssystem verschrotten lassen, das zwecks Anbahnung freundschaftlicher Verkaufsgespräche in Kunden-Dossiers viel Persönliches (Hobbys, Familiäres etc.) speichert, was nicht zur Zweckbestimmung von Kaufverträgen erforderlich ist?

Würde ein Personalleiter als Nebenbei-DSB nicht möglicherweise ein Auge zudrücken wollen, wenn es um die Vermittlung von Informationen über ausgeschiedene Mitarbeiter an befreundete Kollegen geht?

Sind Mitarbeiter solcher, Abteilungen Nebenbei-Datenschutzbeauftragte, gibt es zudem Loyalitätskonflikte. Sie müßten gegebenenfalls ihre Chefs bei der Geschäftsleitung "anschwärzen", was nicht gerade Karriere-förderlich sein soll.

Kontrolle gegen den Revisionskonflikt.

Revisionskonflikte und Loyalitätskonflikte fallen nur dort nicht an, wo Fulltime-Datenschutzbeauftragte ernannt wurden. Sicherlich wäre dies aus Sicht der Aufsichtsbehörden die bessere Lösung, und große Firmen sollten nach den Intentionen des Gesetzgebers sie eigentlich wählen. Aber man kann andererseits - insbesondere mittelständische Unternehmen - ja nicht zu Lösungen zwingen, die als ineffizient erachtet werden.

Wenn aber ein Nebenbei-Datenschutzbeauftragter bestellt wurde, ist durch organisatorische Maßnahmen sicherzustellen, daß die Konflikte erkannt und beobachtet werden. Ein zweckmäßiges Verfahren ist, die interne Revision explizit mit Anweisung der Geschäftsleitung auf die potentiellen Gefahren hinzuweisen mit der Auflage, diese zu kontrollieren. (Deshalb ist die Bestellung eines Revisionsleiters zum DSB vermutlich die unglücklichste Lösung, zumal die Geschäftsleitung die Revision braucht, um den DSB in seiner Tätigkeit zu kontrollieren.)

Wo dies geschieht, ist die Ernennung des EDV-Chefs zum Datenschutzbeauftragten Im Regelfall zulässig; vorausgesetzt, daß die Revisions-Abteilung oder die benannte Kontrolle des Kontrolleurs die Kenntnisse hat, sachgerecht zu überprüfen, ob zum Beispiel

vom EDV-Leiter angemessene Datensicherungsmaßnahmen getroffen wurden oder ob die ordnungsgemäße Anwendung der Programme sichergestellt ist.