Viele Firmen ignorieren es einfach, manchen ist es schlichtweg nicht bekannt: Das Bundesdatenschutzgesetz (BDSG) fordert, dass alle nicht öffentlichen Stellen, in denen mindestens zehn Mitarbeiter "personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen", einen Datenschutzbeauftragten benennen, also eine Person, die sich um den ordnungsgemäßen Umgang mit sensiblen, personenbezogenen Daten kümmert. Für öffentliche Stellen gilt Dasselbe, wenn diese Bedingung auf 20 oder mehr Personen zutrifft.
Hier lesen Sie ...
-
warum ein Datenschutzbeauftragter unabdingbar ist;
-
welche Aufgaben er erfüllen muss;
-
welche gesetzlichen Anforderungen die Unternehmen darüber hinaus zu erfüllen haben;
-
welche Strafen ihnen drohen, wenn sie sie nicht erfüllen.
Der Begriff der personenbezogenen Daten ist dabei weit gefasst: Er bezeichnet alle persönlichen und sachlichen Angaben über "natürliche Personen" - seien es nun Angestellte, Kunden oder Partner. Es kann sich um persönliche Angaben wie Name, Adresse, Beruf, Familienstand oder Bankverbindung handeln, aber auch um sachliche Informationen, zum Beispiel über Einkommen und Vermögen, Umsätze oder beruflichen Werdegang.
Wie bei der Einkommenssteuer
Wer kontrolliert denn schon, ob die Unternehmen mit ihren personenbezogenen Daten sachgemäß umgehen? So möchte man fragen. Wen interessiert es, ob sie die Daten nicht zu Werbe- oder Angebotszwecken an Banken oder Versicherungen weitergeben? Wer prüft wirklich, ob zur Verhinderung von Datenmissbrauch ein Datenschutzbeauftragter bestellt wurde? Die Haltung "Wo kein Kläger, da kein Richter" kann lange Zeit gutgehen.
Doch beim Datenschutz ist es so wie bei der Einkommenssteuer: Irgendwann stattet eine Überwachungsbehörde wie die "Bayerische Datenschutzaufsichtsbehörde für den nicht öffentlichen Bereich" dem Unternehmen einen Kontrollbesuch ab. Und dann gibt es für den Geschäftsführer keine Ausreden. Er ist es, der in diesem Fall haftet. Kann das Unternehmen keinen Datenschutzbeauftragten vorweisen, droht eine Bußgeldzahlung von bis zu 25 000 Euro. Wird bei der Kontrolle ein Datenmissbrauch aufgedeckt, sind sogar Strafen in Höhe von 250 000 Euro vorgesehen.
Aufgaben des Datenschutzbeauftragten
Wer auf der sicheren Seite sein will, sollte sich zunächst über das Aufgabenspektrum eines Datenschutzbeauftragten klar werden. Seine Arbeitsschwerpunkte liegen im Beraten, Überwachen und Dokumentieren.
-
Beratung: Der Datenschutzbeauftragte berät sowohl die Geschäftsleitung als auch die Mitarbeiter, den Betriebsrat und selbstverständlich die IT-Abteilung in allen Datenschutzfragen. Er hilft ihnen auch bei der Ausgestaltung von Verträgen, beispielsweise Vertriebsvereinbarungen in puncto Internet-, Mail- und Telefonnutzung oder Geheimhaltungserklärungen. Darüber hinaus ist er Anlaufstelle Nummer eins für alle Anfragen und Beschwerden, die den Datenschutz betreffen.
-
Überwachung: Gleichzeitig ist dafür verantwortlich, dass der Persönlichkeitsschutz gewährleistet ist. Entspricht die IT den aktuellen Datenschutzrichtlinien? Werden die Vorschriften in allen Phasen der Datenverarbeitung eingehalten? Erfüllen neue oder geplante Systeme die geforderten Standards? Sind die vorhandenen Systeme dokumentiert? Diese Fragen muss der Datenschutzbeauftragte klären.
-
Dokumentation: Last, but not least wirkt der Datenschutzbeauftragte bei der Dokumentation der eingesetzten Verfahren zur Verarbeitung personenbezogener Daten mit, beispielsweise bei Vorabkontrollen oder Verfahrensbeschreibungen.
Unabhängigkeit ist Bedingung
In einem zweiten Schritt gilt es dann, zu überlegen, welcher Mitarbeiter als Datenschutzbeauftragter in Betracht kommt. Dabei fragt sich nicht nur, wer aufgrund seiner Ausbildung, Fähigkeiten und Erfahrungen diese Aufgaben übernehmen beziehungsweise dafür geschult werden kann. Es ist vor allem darauf zu achten, dass diese Person ihre Unabhängigkeit bewahrt. Deshalb darf diese Tätigkeit nicht von jemandem ausgeübt werden, der eine leitende Funktion im Unternehmen ausübt. Gesucht ist also ein Mitarbeiter, der über ausreichend juristischen und technischen Sachverstand verfügt und damit ein gewisses Basis-Know-how für Fortbildung und Qualifizierung hat, der aber nicht der Führungsriege angehört.
BDSG Paragraf 4f im Wortlaut
(1) Öffentliche und nicht öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. [...] Die Sätze 1 und 2 gelten nicht für nicht öffentliche Stellen, die höchstens vier Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigen. [...]
(2) Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Mit dieser Aufgabe kann auch eine Person außerhalb der verantwortlichen Stelle betraut werden. [...]
(3) Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nicht öffentlichen Stelle unmittelbar zu unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. [...]
(4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.
(5) Die öffentlichen und nicht öffentlichen Stellen haben den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Betroffene können sich jederzeit an den Beauftragten für den Datenschutz wenden.
In der Belegschaft größerer Unternehmen lassen sich sehr wahrscheinlich gleich mehrere Mitarbeiter mit diesen Voraussetzungen identifizieren. Für die kleinen und mittleren Unternehmen dürfte es hingegen schwierig sein, eine geeignete Person zu finden. Das Argument "zu dünne Personaldecke" wird die Überwachungsbehörde jedoch nicht gelten lassen.
Sollten also die internen Ressourcen für diese Aufgabe nicht ausreichen, so besteht die Möglichkeit, auf das Know-how externer Consultants zuzugreifen. Vielleicht ist es gerade bei "unliebsamen" Maßnahmen - wenn beispielsweise Zugriffsberechtigungen eingeschränkt, der Einsatzes unsicherer Software unterbunden oder Logfiles kontrolliert werden müssen - für den internen Datenschutzbeauftragten einfacher, sich auf den "gestrengen" Experten von außen zu berufen. Allerdings sollte es einen designierten internen Mitarbeiter für dieses Amt geben, dem die Kollegen und die Geschäftsführung gleichermaßen vertrauen.
Sicherheit beginnt im Kopf
Der beste Datenschutzbeauftragte steht jedoch auf verlorenem Posten, wenn IT-Sicherheit und Datenschutz nicht zur Chefsache erklärt werden. Die Geschäftsführung muss es sich zur Aufgabe machen, die Belegschaft für dieses Thema zu sensibilisieren, damit die Mitarbeiter die Sicherheitsanstrengungen nicht dadurch unterlaufen, dass sie zum Beispiel die Passwörter an den Bildschirm kleben oder .exe-Dateien in E-Mails öffnen.
Um herauszufinden, wie es im Unternehmen in puncto Sicherheit und Datenschutz aussieht, empfiehlt es sich, ein Security-Audit vornehmen zu lassen. Dabei werden die wichtigsten IT-Systeme und deren Konfiguration auf mögliche Sicherheits- und Datenschutzlücken überprüft, notwendige organisatorische und technische Maßnahmen eingeleitet sowie umfangreiche Sicherheitsrichtlinien erstellt - und selbstverständlich auch die Bestimmungen zum Bundesdatenschutzgesetz ins Visier genommen. (qua)