Wer mehr als fünf Mitarbeiter hat, die mit Daten umgehen, braucht einen Datenschutzbeauftragten

von Edigna Menhard

Laut Gesetz müssen Unternehmen, in denen mehr als vier Mitarbeiter mit Personendaten arbeiten, einen Datenschutzbeauftragten benennen. Wer sich an diese Vorgabe nicht hält, muss mit Bußgeldern rechnen. Datenschutz ist aber nicht nur eine rechtliche Auflage, sondern kann auch fürs Unternehmen genutzt werden. Zwar gilt der Datenschützer oft als Quengler, doch in einem guten Datenschutzkonzept können auch Wettbewerbsvorteile liegen.

Tipp:
Daten, die Sie mit Microsoft Office 2003 erstellt haben, können Sie mit dem Information Rights Management sehr präzise schützen. Damit können Sie festlegen, wer die Dateien lesen, ändern, drucken und weiterleiten darf.

Gerade für kleine Unternehmen ist es schwer, alle gesetzlichen Vorschriften einzuhalten. Schnell sind die Aufgaben, die Gesetzgeber und Aufsichtsbehörden dem Unternehmer aufbürden, sehr komplex oder sie gehen schlicht in der Flut der Regelungen unter. Das Thema Datenschutz wird dabei schnell nur stiefmütterlich behandelt. Laut Bundesdatenschutzgesetz Paragraf 4f muss jeder Betrieb, bei dem mindestens fünf Mitarbeiter personenbezogene Daten automatisiert erheben, verarbeiten und nutzen, einen Datenschutzbeauftragten berufen. Erfolgt diese Erhebung und Verarbeitung nicht automatisiert, liegt die Grenze bei mindestens 20 Personen.

Betroffen ist damit fast jedes Unternehmen mit mehr als vier Mitarbeiter, denn beinahe jeder Mitarbeiter greift schon mal auf Kunden- oder Personaldaten zu - ganz gleich, ob dies bei der Buchführung, bei der Datensicherung oder dem einfachen Briefverkehr mit Partnerunternehmen geschieht. Das gilt übrigens auch für Mitarbeiter, die beim Bezahlen Kreditkarten von Kunden als Zahlungsmittel annehmen. Die Regelung gilt gleichermaßen für GmbHs, AGs, Personengesellschaften oder natürlichen Personen wie Ärzten und Rechtsanwälte.

Wenn Sie hier nachlässig handeln, kann Ihnen eine Abmahnung vom Mitbewerber oder eine einstweilige Verfügung der Aufsichtsbehörden ins Haus flattern. Wird die zuständige Behörde aufmerksam, drohen Bußgelder im fünfstelligen Bereich, teilweise sogar strafrechtliche Konsequenzen. Die Geschäftsführung ist verantwortlich dafür, dass in der Firma das Datenschutzgesetz eingehalten wird. Drückten in der Vergangenheit Behörden schon mal ein Auge zu, so kontrollieren sie mittlerweile strenger.

Fachkompetenz erforderlich

Laut Gesetz kann in einem Unternehmen jeder Mitarbeiter zum Datenschutzbeauftragten bestellt werden, der die erforderliche Fachkunde und Zuverlässigkeit besitzt. Das bedeutet, dass der Mitarbeiter nicht nur die gesetzlichen Regelungen und Vorschriften zum Datenschutz kennen, sondern auch über grundlegende IT-Kenntnisse verfügen muss. In der Regel muss sich der zum Datenschutzbeauftragten ernannte Mitarbeiter auf Fortbildungsveranstaltungen informieren. Unternehmen, die die Kosten dafür scheuen oder nicht ausreichend personelle Ressourcen haben, können auch einen externen Datenschutzbeauftragten benennen. Viele IT- Dienstleister bieten diesen Service an. Achten Sie bei dieser Lösung jedoch nicht nur auf den günstigsten Preis, sondern vor allem darauf, dass der Dienstleister entsprechende Qualifikationen vorweisen können.

Transparenz beim Datenschutz ist das Ziel

Die Aufgabe des Datenschutzbeauftragten ist es, sich darum kümmern, dass die Vorschriften zum Datenschutz im Unternehmen eingehalten werden. Ein Schwerpunkt seiner Arbeit liegt in der Beratung. So muss er nicht nur Vorgesetzten, sondern auch anderen Mitarbeitern Fragen zum Thema Datenschutz beantworten und ihnen dabei helfen, dass deren Persönlichkeitsrechte geschützt werden. Gleichzeitig sollte er Kollegen umfassend über Datenschutz informieren und schulen, sie aber auch motivieren, mit vertraulichen Personendaten sensibel umzugehen. IT-Verantwortliche sollten den Datenschützer mit einbeziehen, wenn sie ein IT-Sicherheitskonzept ausarbeiten.

Auch wenn so mancher Datenschutzbeauftragte schon als Nörgler abgestempelt wird, so ist er doch gesetzlich dazu verpflichtet, weiterhin Schwachstellen und Versäumnisse im Datenschutz zu erkennen und gemeinsam mit den betroffenen Mitarbeitern und Vorgesetzen zu beseitigen.

Ein weiterer Aufgabenbereich: Der Datenschutzbeauftragte muss sicherstellen, dass Verfahrensverzeichnisse, also die Beschreibung von Arbeitsabläufen und Geschäftsprozessen, verfügbar und für alle Mitarbeiter transparent sind.

Außerdem muss er am Ende des Geschäftsjahres einen Tätigkeitsbericht verfassen.

Datenschützer brauchen Unterstützung

Der Aufgabenbereich eines Datenschutzbeauftragten ist sehr groß. Deshalb sollte er von der Geschäftsleitung unterstützt werden. So sollte der Datenschützer von einigen Aufgaben seines normalen Jobs entlastet werden. Nur so hat er auch die Zeit, seine Pflichten zu erfüllen. Auch sollte es eine Selbstverständlichkeit sein, dass er alle erforderlichen Unterlagen erhält, gegebenenfalls auch Geräte, Räumlichkeiten und fachkundige Unterstützung, etwa durch IT-Experten. Darüber hinaus sollte er die Möglichkeit haben, selbst Schulungen und Fachseminare zum Thema Datenschutz zu besuchen, aber auch Kollegen zu schulen. Neue Projekte, gerade in der IT, sollten schon vorab mit ihm mit Blick auf datenschutzrechtliche Aspekte besprochen werden.

Ohne Fingerspitzengefühl geht nichts

In seiner Funktion als Datenschutzbeauftragter muss er eng mit der Geschäftsleitung zusammensarbeiten, denn er hat der Firmenleitung gegenüber nicht nur das so genannte Vortragsrecht, sondern auch die Pflicht dazu.

Ernennen Sie einen Datenschutzbeauftragten immer schriftlich. Wichtig ist dabei, dass Sie seine Aufgaben auflisten und konkret seine Stellung in der Firmenorganisation nennen. Ebenso sollten Sie ihn auf seine Pflicht zur Verschwiegenheit hinweisen. Informieren Sie anschließend alle Mitarbeiter, wen Sie zum Datenschutzbeauftragten ernannt haben.

Damit der firmeneigene Datenschützer von allen Mitarbeitern akzeptiert wird, müssen er Fingerspitzengefühl zeigen. Nicht jeder, der die fachliche Kompetenz für diese Aufgabe vorweisen kann, hat auch die charakterliche Stärke, Führungskräften im Unternehmen und Kollegen auf die Finger zu schauen und ihnen ab und zu auch zu widersprechen. Dazu muss er oft sehr vertrauliche Gespräche mit anderen Mitarbeitern führen. Deshalb ist es wichtig, dass er den richtigen Umgangston findet und Vertrauen genießt. Was nicht passieren darf: Der Datenschutzbeauftragte darf nicht einem Interessenkonflikten ausgesetzt sein, also zum Beispiel seine eigene berufliche Tätigkeit überwachen.

Datenschutz als Wettbewerbsvorteil

Auch wenn Datenschützer oft als Quengler betrachtet werden, in einem guten Datenschutzkonzept liegen auch Chancen. Gerade Unternehmen, die mit den persönlichen Daten ihrer Kunden arbeiten, wecken Vertrauen, wenn sie mit Informationen sachgerecht umgehen. Außerdem trägt ein Datenschutzbeauftragter, der dafür sorgt, dass ältere, nicht mehr benötigte Daten regelmäßig gelöscht werden, dazu bei, dass Ihre Firma in der Datenflut nicht untergeht.


Weitere Artikel zum Thema:

Sicherheitleitfaden für kleine Unternehmen
Spyware: Schnüffler im Unternnehmen
Gemeinschaftsinitiative für Ihre Sicherheit im Internet
trans
**

Weitere Informationen zum Artikel

**
**
Security Bulletin

Sicherheitsupdates Mai 2009
Das Sicherheitsupdate für Mai 2009 betrifft PowerPoint und wird als kritisch eingestuft. Sie sollten das Update von der Microsoft Update-Website herunterladen und installieren.

Microsoft Sicherheits-Portal

So finden Sie heraus, welche Windows-Version im Einsatz ist

Informieren Sie sich über Windows XP SP3

**