Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

04.03.1977 - 

Externer Datenschutzbeauftragter:

Ja oder nein?

Noch ist das Datenschutzgesetz ein Gesetz der Juristen. Und von der Justiz weiß man, daß sie einer Kanone gleicht, von der nicht bekannt ist, ob sie nach vorne oder hinten losgeht. Bezogen auf das BDSG: Ob nun ein externer Datenschutzbeauftragter bestellt werden soll - oder ob so ein "Geschäftsbesorger" überhaupt bestellt werden darf -, dies ist völlig, offen. Damit auch die Konsequenzen, die sich aus der einen oder anderen Lösung ergeben. Deshalb sind die Antworten zu unserem Thema der Woche zwar stimmungsvoll aber letztendlich unbefriedigend. Die Spaltung geht durchs ganze Land. Nur in einem Punkt herrscht Harmonie: Niemand weiß, woher alle die Experten nehmen?

Reiner von zur Mühlen, GDD - Gesellschaft für Datenschutz und Datensicherung, Bonn, Herausgeber des Informationsdienstes "Sicherheitsberater"

Wir sehen im externen Datenschutzbeauftragten eine Reihe von fast unlösbaren Problemen, wodurch die Zahl der Schwierigkeiten gerade bei kleinerer Unternehmen: unter Umständen noch weiter vergrößert wird.

1. Die Gefahr der Maximal-Forderung:

Der externe DSB Wird, Erfahrungen mit ähnlichen Konstruktionen im Bereich Umweltschutz und Arbeitsschutz zeigen das, dazu neigen, Maximal-Forderungen, die weder betriebswirtschaftlich noch von der Risikolage her gerechtfertigt sind, aufzustellen, um sich exkulpieren zu können.

2. Scharlatane:

Sie drängen auf den Markt um das Geschäft des Datenschutzes mitzunehmen. Nicht immer haben sie die erforderliche Sachkunde und sind damit hilfreich. Man fragt sich überhaupt, wo kommen auf einmal so viele "Fachleute" her, die ihre Dienste anbieten.

3. Fehlende Betriebskenntnis:

Sie erschwert die Arbeit des Externen und macht ihn dadurch teurer, denn seine Einarbeitungszeit muß mitbezahlt werden.

4.Dem Datenschutzbeauftragten darf aus seiner Tätigkeit kein Nachteil erwachsen (Paragraph 29, Absatz 3). Unbefristete Verträge sind daher problematisch, denn ihre Kündigung kann ein Nachteil im Sinne des Gesetzes sein. Damit aber wäre auch die vorgeschriebene Unabhängigkeit des DSB berührt.

Externe Datenschütz-Beauftragte sollten besser nur externe Datenschutz-Berater sein. Diese sollten einem verantwortlich bestellten internen Datenschutzbeauftragten vor allem in der Implementierungsphase zur Seite stehen. Empfehlenswert sind ansonsten nur die vorübergehende Bestellung eines externen Daten - mit einem befristeten Vertrag oder - wenn man wirklich keinen geeigneten Mitarbeiter hat oder dafür freistellen will - die Berufung eines Externen als kleineres Übel. Sie empfiehlt sich auch für kleinere Unternehmen, die keine eigene Datenverarbeitung betreiben, aber trotzdem speichernde Stelle im Sinne des Gesetzes sind und zum Beispiel den Datenschutzbeauftragten ihres Dienstleistungsrechenzentrums auch zu ihrem Datenschutzbeauftragten machen.

Thilo Steinbrinck, Kiel, ADL-Vorsitzender (persönliche Stellungnahme)

Der Datenschutzbeauftragte muß unbedingt der Unternehmensleitung unterstellt sein. In ° 28, Absatz 3 BDSG steht, "der Beauftragte für den Datenschutz ist dem Inhaber, dem Vorstand ... unmittelbar zu unterstellen". Dies bedeutet, daß der Datenschutzbeauftragte aus der Firma kommen muß - das geht ganz klar aus der Gesetzesvorschrift hervor. Er muß - wie alle Beauftragten - aus dem Betrieb kommen, sei er Sicherheitsbeauftragter oder Emmissionsschutz-Beauftragter etc. Die Verantwortung für den Datenschutz liegt ganz eindeutig bei der Geschäftsleitung und beim Unternehmen. Die Datenschutzaufsicht kann nicht delegiert werden. Wenn Datenschutzberatung von draußen kommt, darf es auch nur Beratung seine mehr nicht.

Das bedeutet also auch für mittlere Unternehmen, daß sie einen eigenen Datenschutzbeauftragten bestellen müssen. Sie sind dazu ebenso verpflichtet, wie sie einen Sicherheitsbeauftragten bestellen müssen. Daran gibt es nichts zu deuten.

Kleinere und mittlere Unternehmen können sich indes durchaus beraten lassen. Als erste Stelle kommt hierfür die Aufsichtsbehörde in Frage. Es steht sogar in ihrer Funktionsbeschreibung, daß sie Beratung erteilen muß. Als nächstes können Verbände wie ADL, AWV, RKW herangezogen werden und dann privatrechtlich organisierte Institutionen wie die Gesellschaft für Datenschutz und Datensicherung (GDD), Bonn.

Rüdiger Dierstein

DVFLR, Oberpfaffenhofen (persönliche Stellungnahme)

Vom Gesetz her muß es kein externer DSB sein. Auf die Frage, ob es ein Externer sein darf, kann man keine generelle Regelung angeben das muß von Fall zu Fall entschieden werden. Gesichtspunkte, die hierbei berücksichtigt werden müssen, sind die Art, die Größe und die Zielrichtung des Unternehmens. Es gibt Firmen, die zwar personenbezogene Daten haben, bei denen jedoch die Schutz-Erfordernisse nicht sehr groß sind (vergleiche Paragraph 6 BDSG).

Die Frage muß entschieden werden vor dem Hintergrund, ob ein externer DSB die Belange und Erfordernisse des Unternehmens so durchschaut, daß er mit hinreichender Verläßlichkeit entscheiden kann, was für dieses betreffende Unternehmen notwendig ist. Rein aus der Praxis lassen sich eine Menge Unternehmen nennen, bei denen ein externer DSB von vornherein ausscheidet, weil er diese Kenntniss nicht haben kann. Der Datenschutzbeauftragte wird in vielen Fällen ein leitender Angestellter sein - und man weiß, wie lange es dauert, bis eine solche Position erreicht werden kann. Und wenn man für einen leitenden Angestellten drei Jahre ansetzt, bis er diese Qualifikation erreicht hat, kann man für die Ausbildung des DSB - der ja ebenfalls Leitender ist - nicht nur drei Monate ansetzen.

Ein genereller Zweifel an der Seriosität externer Berater ist jedoch unzulässig. Selbstverständlich muß man im Einzelfall aufpassen, denn daß es auch in dieser Branche Unseriöse gibt, ist klar. Daß es zur Zeit en vogue ist, unseriös vorzugehen, ist eine andere Frage.

Eine Mittellösung wäre es, wenn ein Unternehmen, das in so kurzer Zeit einen DSB nicht aufbauen kann, sich der Beratung eines seriösen Beratungsunternehmens bedient - nur ist hier wieder die Frage, ob es denn heute schon Beratungsfirmen gibt, die so viel Erfahrung haben.

Wilhelm Schnee

Referent für Datenschutz beim AWV

Die externe Kontrolle soll doch in jedem Fall vermieden werden. Schon deshalb ist es notwendig, daß man sich einen guten Datenschutz-Beauftragten im Unternehmen heranzieht, und alle Vorschriften peinlichst genau erfüllt. Wenn der Datenschutz-Beauftragte nicht funktioniert, dann darf man sich nicht wundern, wenn tatsächlich die staatliche Kontrolle kommt. Es ist nun gleichgültig, ob man ein Beratungsunternehmen bittet, einen ganz bestimmten Herrn zu entsenden (es kann ja keine juristische Person als Datenschutz-Beauftragter entsendet werden, sondern es muß eine natürliche Person sein): Wichtig ist, daß der DSB funktio-