computerwoche.de

Security

Zehn goldene Regeln

Outsourcing von Datenschutz

11.02.2008
Von Stefan Straub
Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. stellt derzeit in einer Checkliste zusammen, worauf Firmen beim Auslagern ihrer Datenschutzaufgaben achten sollten. Die zehn wichtigsten Regeln vorab.

Jedes Unternehmen, in dem mehr als neun Mitarbeiter personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, ist verpflichtet, einen Datenschutzbeauftragten zu bestellen - so lautet Paragraf 4f des Bundesdatenschutzgesetzes (BDSG). Der Datenschutzbeauftragte kann entweder aus der unternehmenseigenen Belegschaft heraus bestimmt oder über einen externen Dienstleister verpflichtet werden. Wer die Datenschutzaufgaben in fremde Hände gibt, sollte folgende Regeln beachten:

1. Den passenden Dienstleister auswählen

Der wichtigste Schritt ist - wie immer beim Outsourcing - die Wahl des richtigen Partners. Dabei gilt es, auf die Kernkompetenzen des Beratungshauses sowie seine Referenzen zu achten. Optimal ist, wenn hinter dem Datenschutzbeauftragten ein Expertenteam steht, das über umfassendes Wissens mit unterschiedlichen Fachkenntnissen verfügt. Davon kann der Auftraggeber profitieren.


Zum Beauftragten des Datenschutzes darf nur bestellt werden, wer das erforderliche Fachwissen und die nötige Zuverlässigkeit besitzt. So hat das Landgericht Ulm in seinem Urteil vom 31. Oktober 1990 (Az.: 5T 153/90-01 LG Ulm) bestimmt, dass diese Person in der Lage sein muss, sämtliche den Datenschutz betreffenden Rechtsvorschriften anzuwenden, und zudem über ein fundiertes informationstechnisches sowie betriebswirtschaftliches Wissen verfügen muss. Unternehmerisches Know-how, beispielsweise zu den idealen Geschäftsabläufen, Zuständigkeiten und Verzahnungen von Abteilungen, sind essenziell für eine Beratung auf Augenhöhe mit Geschäftsführern und Vorständen. Ausgereifte methodische Kompetenzen, didaktische Fähigkeiten und psychologisches Einfühlungsvermögen sind von ebenso großer Bedeutung wie die soziale Reife des externen Datenschutzbeauftragten. Er sollte den Firmenvertretern - unabhängig von ihrer Hierarchiestufe - aufmerksam zuhören, ihre Anliegen erkennen und darauf eingehen können.

Was die Honorare betrifft, ist der Datenschutz in der Liga einer Unternehmensberatung angesiedelt. Entsprechend muss die Vergütung gestaltet sein. Bei Offerten für 100 bis 200 Euro pro Tag ist daher Misstrauen angebracht - für diesen Betrag ist zuverlässiger Datenschutz nach den gesetzlichen Anforderungen nicht zu erbringen.

Zudem ist zu berücksichtigen, dass der betriebliche Datenschutz kein "Job nebenher", sondern eine zentrale Aufgabe der Unternehmensleitung ist, die auf einer langjährigen Vertrauensbeziehung zwischen Geschäftsführung und Datenschutzbeauftragtem beruht. Hier gilt: "Drum prüfe, wer sich lange bindet."