| Ein Passwort alleine genügt nicht | |
| Ist der Ruf erst ruiniert | |
| Der IT-Chef scheidet aus | |
| Verbindliche Maßnahmen | |
| Datenschutz - ein Randthema? | |
| Seite 6 |
Zu den Kernpflichten eines Unternehmens zählt die Bestellung eines betrieblichen Datenschutzbeauftragten, sobald mehr als vier Mitarbeiter in die elektronische Verarbeitung personenbezogener Daten involviert sind. "Das ist schnell der Fall, denn gemeint ist die Anzahl der Personen, nicht der Stellen", warnt der externe Datenschutzbeauftragte und -berater Karl-Uwe Lüllemann. Aufgabe des jeweils Zuständigen ist es im Grundsatz, auf die Einhaltung des Datenschutzgesetzes im Unternehmen "hinzuwirken". Er ist in dieser Funktion allerdings nicht weisungsbefugt und daher auf die Rückendeckung der Firmenleitung angewiesen, die für Gesetzesverstöße persönlich haftet. Konkret hat der Datenschutzbeauftragte die firmenspezifische Verfahrensübersicht zu führen, die ordnungsgemäße Anwendung von Datenverarbeitungsprogrammen zu überwachen sowie die Zulässigkeit neuer Verfahren im Rahmen einer Vorabkontrolle zu prüfen. "Von der Idee her handelt es sich um eine Stabsstelle, die der Firmenleitung zuarbeitet und ihr Know-how zur Verfügung stellt", so Lüllemann.
Der Datenschutzbeauftragte sollte nach Empfehlung der Experten im Bereich Sicherheit, Qualitäts-Management oder in der Revisionsabteilung angesiedelt sein. Da keine Interessenskonflikte bestehen dürfen, scheiden Personen wie Geschäftsführer, Personalleiter und vor allem IT-Chefs aus. Die laut Lüllemann dennoch verbreitete Praxis, den CIO auch in dieses Amt zu heben, ist riskant: Bei einer Falschbestellung droht ein Bußgeld von bis zu 25 000 Euro. "Man darf den Bock nicht zum Gärtner machen - schließlich hat der Datenschutzverantwortliche auch den IT-Leiter in der Umsetzung seiner Vorgaben zu kontrollieren", mahnt der Consultant.
Bei Nicht- oder Scheinbestellung eines Datenschutzbeauftragten droht ein Bußgeld bis zu 25 000 Euro. Eine Scheinbestellung liegt unter anderem vor, wenn der Zuständige nicht über die erforderliche Fachkunde verfügt oder ein Interessenskonflikt gegeben ist.
Bereits ein fahrlässiger Gesetzesverstoß - etwa wenn personenbezogene, nicht allgemein zugängliche Daten unbefugt erhoben oder verarbeitet werden - kann mit einer Geldstrafe bis zu 250000 Euro geahndet werden.
Bei einem vorsätzlichen Gesetzesverstoß (mit Bereicherungsabsicht oder dem Ziel, andere zu schädigen) droht neben dem Bußgeld eine Freiheitsstrafe bis zu zwei Jahren.
