Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

25.03.1977

Revisionsleiter als Datenschutzbeauftragter?

Das am 1. Januar 1978 in Kraft tretende Bundesdatenschutzgesetz (BDSG) verlangt abweichend von diesem Termin gemäß Paragraph 47, Absatz 2, bereits zum 1. 7. 1977 die Ernennung eines Beauftragten für den Datenschutz (Datenschutzbeauftragter) durch die vom Gesetz betroffenen Unternehmen. Deshalb ist von der Unternehmensleitung zunächst vorrangig zu entscheiden, wer zum Datenschutzbeauftragten ernannt werden soll. Im Rahmen dieser Überlegungen wird auch zunehmend die Frage an die Interne Revision herangetragen beziehungsweise von dieser diskutiert, ob es nicht zweckmäßig ist, den Revisionsleiter mit der Funktion eines Datenschutzbeauftragten zu betrauen. Soweit die Revision der Geschäftsleitung direkt unterstellt ist, wäre damit gleichzeitig die gemäß Paragraph 28, Absatz 3, geforderte, unmittelbare Unterstellung des Datenschutzbeauftragten unter den Vorstand, den Geschäftsführer oder den sonstigen gesetzlich oder verfassungsmäßig berufenen Leiter realisiert. Wie ist dieser Sachverhalt aus der Praxis der Internen Revision zu beurteilen?

1. Fachliche Voraussetzungen

Gemäß Paragraph 28, Absatz 2, darf zum Beauftragten für den Datenschutz nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Im einzelnen ist der Umfang der notwendigen Fachkenntnisse durch das Gesetz zwar nicht präzisiert. Jedoch können diese global aus der durch das Gesetz umschriebenen Aufgabenstellung abgeleitet werden. Schwergewichtig stehen dabei vor allem Kenntnisse und Erfahrungen auf dem EDV-Sektor im Vordergrund.

Diese dürften in der Revision überwiegend dann vorhanden sein, wenn im Rahmen der laufenden Revisionstätigkeit die EDV-Revision einen ausreichenden Entwicklungsstand erreicht hat. Neben den hierdurch vorhandenen EDV-Kenntnissen sind von besonderem Gewicht vor allem die aus den Prüfungen gewonnenen Erfahrungen beziehungsweise Erkenntnisse hinsichtlich der Qualität des internen Kontrollsystems sowie die möglichen und notwendigen Datensicherungsmethoden. Damit ist für die Interne Revision eine gute Ausgangsbasis für die Konzipierung von notwendigen Datensicherungsmaßnahmen auch aus der speziellen Sicht des BDSG gegeben. Bei qualifizierten Prüfungserfahrungen mit der EDV-Revision dürfte deshalb aus rein fachlicher Sicht zunächst vieles dafür sprechen, die Funktion des Datenschutzbeauftragten in die Revision zu integrieren. Darüber hinaus wird auch durch die Stellung der Internen Revision innerhalb des Unternehmens die Durchsetzbarkeit für erforderliche Datensicherungsmaßnahmen sicherlich erleichtert werden.

2. Wirtschaftliche Gesichtspunkte

Auch aus wirtschaftlicher Sicht bieten sich Vorteile. Zielsetzung der Internen Revision ist es unter anderem die Funktionsfähigkeit des internen Kontrollsystems (einschließlich Datensicherung) permanent zu überwachen und Vorschläge zu seiner Verbesserung zu erarbeiten. Die Sicherungsanforderungen, die sich aus dem BDSG ergeben, sind dabei nur eine Verlagerung des Schwergewichtes auf die personenbezogenen Daten. Damit könnte die Interne Revision im Rahmen der ihr ohnehin gestellten Überwachungsaufgabe die Funktion des Datenschutzbeauftragten in ihrer Aufgabenstellung ohne Schwierigkeiten mit einbeziehen. Mit Sicherheit könnten hierdurch Kostenvorteile für das Unternehmen erreicht werden, da keine neue kostenverursachende Institution zu installieren ist.

3. Funktionstrennung

Trotz der aus fachlicher und wirtschaftlicher Sicht eindeutig festzustellenden Vorteile sollte die Übernahme der Funktionen des Datenschutzbeauftragten durch die Interne Revision aus Gründen der Funktionstrennung grundsätzlich aber nicht befürwortet werden.

Der Datenschutzbeauftragte wird insbesondere bei größeren Unternehmen ein durch das BDSG umrissenen Aufgabenkatalog zu erfüllen haben, der hinsichtlich zweckmäßiger, ordnungsmäßiger, aber vor allem wirtschaftlicher Aufgabenerfüllung durch die Unternehmensleitung im einzelnen nicht mehr intensiv kontrolliert werden kann.

Dabei handelt es sich zum Beispiel um folgende kontrollnotwendige Fragestellungen:

- Nimmt der Datenschutzbeauftragte die ihm durch das Gesetz auferlegten Aufgaben ordnungsgemäß (vollständig und richtig) wahr?

- Sind die vom Datenschutzbeauftragten veranlaßten Sicherungsmaßnahmen ausreichend bemessen?

- Sind die vorgesehenen beziehungsweise realisierten Sicherungsmaßnahmen wirtschaftlich vertretbar (Paragraph 7, Absatz 1, BDSG)?

- Ist die notwendige Unterstützung des Datenschutzbeauftragten durch die Fachbereiche gesichert, um eine wirtschaftliche Aufgabenerledigung zu gewährleisten?

- Ist die Aufgabenabgrenzung (Kompetenz) zwischen dem Datenschutzbeauftragten und den Fachbereichen zweckmäßig geriegelt?

- Ist die notwendige fachliche Qualifikation der mit den Datenschutzaufgaben beauftragten Mitarbeiter gegeben?

Allein das Gewicht dieser bei weitem noch nicht vollständigen Kontrollfragen zeigt, daß sowohl aus der Sicht der Sicherung der gesetzlichen Anforderungen, aber ebenso aus internen (wirtschaftlichen) Überlegungen heraus eine Kontrollnotwendigkeit für die Funktion des Datenschutzbeauftragten unabdingbar ist. Sollen diese Kontrollerfordernisse ausreichend gesichert werden, wird die Unternehmensleitung um eine Delegation dieser Funktion nicht umhinkönnen.

Sinnvollerweise bietet es sich an, diese Kontrollfunktion auf die Interne Revision zu übertragen. Es ist leicht einzusehen, daß deshalb die Interne Revision nicht gleichzeitig die Funktion eines Datenschutzbeauftragten übernehmen sollte. Sie würde damit ihre eigenen in der Funktion eines Datenschutzbeauftragten getroffenen Maßnahmen (Festlegungen) selbst prüfen müssen.

Damit scheint aber die notwendige Neutralität nicht mehr sichergestellt. Dies gilt vor allem für diejenigen Aufgaben, für die der Datenschutzbeauftragte eine Richtlinienkompetenz zur ordnungsgemäßen Wahrnehmung seiner Aufgaben besitzen muß.

4. Fazit

Trotz einiger durchaus vorhandener Vorteile sollte die Interne Revision nicht die Funktion eines Datenschutzbeauftragten übernehmen. Entsprechend ihrer Zielsetzung als unternehmerisches Überwachungsinstrument ist es vielmehr ihre Aufgabe, die ordnungsgemäße und wirtschaftliche Erledigung der Aufgaben des Datenschutzbeauftragten in ihre Prüfungshandlungen einzubeziehen. Zur Sicherstellung einer neutralen beziehungsweise objektiven Wahrnehmung dieser Aufgabe ist die Übernahme der Funktion eines Datenschutzbeauftragten durch den Revisionsleiter auszuschließen.

* Dipl.-Vwt. Hans-Jürgen Fischer ist Leiter der Internen Revision bei der Hamburgischen Electricitäts-Werke AG.