Datenschutz gekonnt auslagern

23.01.2008
Von Stefan  Straub
Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) stellt derzeit in einer Checkliste zusammen, worauf Firmen beim Auslagern ihrer Datenschutzaufgaben achten sollten. Hier die zehn wichtigsten Regeln vorab.

Verstöße im Umgang mit personenbezogenen Daten sind kein Kavaliersdelikt - das bekam eine mittelständische Warenhandelskette mit 15 Standorten und 2000 Mitarbeitern unlängst zu spüren: Nach eingehender Prüfung sah es die zuständige Aufsichtsbehörde als erwiesen an, dass das Unternehmen rechtmäßig erhobene, personenbezogene Daten für Marketing- und Vertriebsmaßnahmen zweckentfremdet und damit unerlaubt genutzt hatte. Für diese Ordnungswidrigkeit verhängte die Aufsichtsbehörde ein Bußgeld in Höhe von 15 000 Euro und forderte zudem die Umstellung sämtlicher interner Prozesse - was die Handelskette weitere rund 100 000 Euro kostete.

Was beim Outsourcing von Datenschutz zu beachten ist

Jedes Unternehmen, in dem mehr als neun Mitarbeiter personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, ist verpflichtet, einen Datenschutzbeauftragten zu bestellen - so lautet Paragraf 4f des Bundesdatenschutzgesetzes (BDSG). Dabei kann der Datenschutzbeauftragte entweder aus der unternehmenseigenen Belegschaft heraus bestimmt oder über einen externen Dienstleister verpflichtet werden. Wer die Datenschutzaufgaben in fremde Hände gibt, sollte die folgenden zehn Regeln beachten:

Den passenden Dienstleister auswählen

Der wichtigste Schritt ist - wie immer beim Outsourcing - die Wahl des richtigen Partners. Dabei gilt es, auf die Kernkompetenzen des Beratungshauses sowie seine Referenzen zu achten. Optimal ist, wenn hinter dem Datenschutzbeauftragten ein Expertenteam steht, das über umfassendes Wissen mit unterschiedlichen Fachkenntnissen verfügt. Davon kann der Auftraggeber profitieren.

Zum Beauftragten des Datenschutzes darf nur bestellt werden, wer das erforderliche Fachwissen und die nötige Zuverlässigkeit besitzt. So hat das Landgericht Ulm in seinem Urteil vom 31. Oktober 1990 (Az.: 5T 153/90-01 LG Ulm) bestimmt, dass diese Person in der Lage sein muss, sämtliche den Datenschutz betreffenden Rechtsvorschriften anzuwenden, und zudem über ein fundiertes informationstechnisches sowie betriebswirtschaftliches Wissen verfügen muss. Unternehmerisches Know-how, beispielsweise zu den idealen Geschäftsabläufen, Zuständigkeiten und Verzahnungen von Abteilungen, sind essenziell für eine Beratung auf Augenhöhe mit Geschäftsführern und Vorständen. Aber auch über methodische Kompetenzen, didaktische Fähigkeiten und psychologisches Einfühlungsvermögen sollte der externe Datenschutzbeauftragte verfügen.

Was die Honorare betrifft, ist der Datenschutz in der Liga einer Unternehmensberatung angesiedelt. Entsprechend muss die Vergütung gestaltet sein. Bei Offerten für 100 bis 200 Euro pro Tag ist daher Misstrauen angebracht - für diesen Betrag ist zuverlässiger Datenschutz nach den gesetzlichen Anforderungen nicht zu erbringen.

Zudem ist zu berücksichtigen, dass der betriebliche Datenschutz kein "Job nebenher", sondern eine zentrale Aufgabe der Unternehmensleitung ist, die auf einer langjährigen Vertrauensbeziehung zwischen Geschäftsführung und Datenschutzbeauftragtem beruht. Hier gilt: "Drum prüfe, wer sich lange bindet."

Auf vertragliche Mindestlaufzeiten achten

Die Mindestlaufzeit des Vertrags sollte etwa drei Jahre betragen, da die Aufsichtsbehörden ansonsten die Unabhängigkeit des Auftragnehmers anzweifeln könnten. Beratungsverträge über ein oder gar nur ein halbes Jahr gilt es demnach tunlichst zu vermeiden.

Lange Vertragslaufzeiten bedeuten aber auch, dass die Geschäftsführung hohes Vertrauen in ihren externen Datenschutzbeauftragten haben muss und sich beide Parteien daher auch auf persönlicher Ebene gut verstehen sollten.

Die Vertragsdauer des Beratungsmandats und die erforderlichen Arbeitsstunden lassen sich nicht pauschalieren. Sie hängen von vielen Faktoren wie der Größe des Unternehmens sowie der Zahl der Niederlassungen und Töchter ab. Aber auch der Dokumentationsgrad der Prozesse sowie der vorhandenen IT-Infrastruktur haben Auswirkungen auf den Auftragsumfang.

Das Outsourcing-Projekt ernst nehmen

Damit der externe Datenschutzbeauftragte seine Aufgaben gut und effizient erfüllen kann, muss die Geschäftsführung persönlich von der Dringlichkeit des Datenschutzes und seiner Auslagerung überzeugt sein und dies intern nachdrücklich unterstützen. Wer nur halbherzig hinter dem Datenschutz in seinem Unternehmen steht, macht es dem Berater nicht leicht, und die Ergebnisse werden unbefriedigend. Zwar wird das Topmanagement in diesem Zusammenhang selten direkt in Anspruch genommen, doch mitunter ist seine Zustimmung erforderlich.

Einen Ansprechpartner für das Tagesgeschäft benennen

Für die Organisation des Tagesgeschäfts braucht der Datenschutzbeauftragte einen zentralen Ansprechpartner im Unternehmen. Dieser koordiniert etwa Termine oder ermöglicht den Zugang zu Büros und Unterlagen. Der Ansprechpartner sollte intern akzeptiert sein und zu allen Kollegen einen guten, neutralen Zugang haben - geeignet ist daher der Personalleiter oder ein Mitarbeiter der Personalabteilung. In kleineren Betrieben mit überschaubaren Strukturen kann der Berater mit den einzelnen Mitarbeitern direkt kommunizieren und so den zentralen Ansprechpartner entlasten.

Einen Arbeitsplatz für den Berater einrichten

Da der externe Datenschutzbeauftragte im Idealfall mehr als die Hälfte der vereinbarten Stunden im Unternehmen anwesend ist, sollte ihm ein Arbeitsplatz mit PC und Telefon zur Verfügung stehen. Die Zugriffsrechte auf die Firmendaten sind vorab zu klären. Die Zutrittsberechtigung zu den Räumlichkeiten sollte der eines festen freien Mitarbeiters entsprechen.

Relevante Dokumente zusammenstellen

Sind diese Rahmenbedingungen geschaffen, gilt es, gemeinsam mit dem Berater eine Ist-Soll-Analyse des Datenschutzes zu erstellen. Ziel ist es, kritische Unternehmensprozesse sowie Hürden und Stolpersteine für einen rechtskonformen Datenschutz festzustellen.

Dazu müssen die bereits bestehenden technischen und organisatorischen Datenschutzmaßnahmen geprüft werden. Hier gilt: Je mehr Dokumentationen über die IT, Zuständigkeiten, Geschäftsprozesse und Verzahnungen von Abteilungen sowie Aufgaben im Unternehmen vorhanden sind, desto schneller kann die Analyse durchlaufen und abgeschlossen werden.

Die verfügbaren Dokumentationen sollten noch vor der Auftragsvergabe gesichtet und zusammengestellt werden. Bei deutlichen Lücken in den Aufzeichnungen sollte der Kunde den Berater nachträglich um Vorschläge bitten, welche Dokumentationen für eine zuverlässige Analyse zwingend angefertigt werden sollten.

Eigene Ideen für den Datenschutz entwickeln

Auf der Basis der Analyseergebnisse können effiziente, juristisch sichere und technisch gangbare Lösungen entwickelt und ein für das Unternehmen individuell passendes Datenschutzkonzept erzeugt werden.

In der Phase von Analyse und Konzeptentwicklung sollte eruiert werden, worauf besonders Wert zu legen ist beziehungsweise was keinesfalls in Frage kommt, etwa weil es nicht dem Führungsstil im Unternehmen entspricht. Wichtig ist, diese Aspekte mit dem Berater zu erörtern, denn er kennt die Datenschutzpraktiken und wird versuchen, den Weg zu finden, der den firmeneigenen Vorstellungen gerecht wird.

Die Umsetzung des Datenschutzkonzepts unterstützen

Der externe Datenschutzbeauftragte kann nichts ohne Zustimmung des Unternehmens ändern oder implementieren. Hier gilt: Der Berater berät, der Geschäftsführer beschließt und trägt dafür die Verantwortung.

Liegt nun ein vom Unternehmen abgesegneter Maßnahmenkatalog vor, ist dieser umgehend umzusetzen. Dabei sollten die Fortschritte in der Realisierung der Maßnahmen laufend überprüft - oder die Kontrolle an den Datenschutzbeauftragten übertragen werden.

Mitarbeiter informieren und schulen

Laut Gesetz ist jedes Unternehmen dazu verpflichtet, das Verständnis für und die Akzeptanz von Datenschutznormen zu fördern. Gemeinsam mit dem Berater sollte demnach eine Datenschutz-Schulungsserie für die Mitarbeiter organisiert werden. Ihnen ist entsprechend Freiraum einzuräumen, damit sie die internen Seminare besuchen können.

Regelmäßige Berichterstattung fordern

Es empfiehlt sich, von dem Datenschutzbeauftragten regelmäßige Reports über seine Arbeit einzufordern - denn nur Transparenz schafft Vertrauen. Üblicherweise erhält die Geschäftsführung einen Jahresbericht mit den jeweiligen Tätigkeitsschwerpunkten, den identifizierten Problemen und deren Lösung.

Unternehmen sind gesetzlich verpflichtet, umfassende Datenschutzvorkehrungen zu treffen - und sollten diese auch im eigenen Interesse konsequent durchsetzen. Denn im Fall eines Datenmissbrauchs drohen Vertrauensverlust bei Mitarbeitern, Partnern und Kunden, enorme Kosten und natürlich rechtliche Konsequenzen. So sieht der Gesetzgeber bei Verstößen im Umgang mit personenbezogenen Daten Strafen von bis zu 250 000 Euro vor. Wer keinen Datenschutzbeauftragten bestellt, obwohl er nach Paragraf 4f BDSG müsste, dem drohen Bußgelder von immerhin bis zu 25 000 Euro. (kf)

Mehr zum Thema

www.computerwoche.de/ 577232: Datenschutz: Pass-wort genügt nicht;

581294: Datenschutz: Igno-ranz kann teuer werden;

556964: Big Brother Awards 2007: Schäuble geht leer aus.