Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Auswahl und Einordnung im Unternehmen:


18.02.1977 - 

Wer soll Datenschutzbeauftragter werden ?

Der Informationsfluß, bisher weitgehend ungehindert, unterliegt nach Inkrafttreten des Bundesdatenschutzgesetzes (BDSG) teils erheblichen Einschränkungen. Ein umfangreicher Katalog von Kontrollmaßnahmen bestimmt die Pflichten eines Unternehmens und regelt die Rechte der betroffenen Bürger. Straf- und Bußgeldvorschriften runden diese Palette ab. Dies stellt die Unternehmen vor neue Aufgaben. Daß diese Vorschriften im Betrieb eingehalten werden, überwacht der Beauftragte für den Datenschutz. Das Bundesdatenschutzgesetz trifft jedes Unternehmen, das personenbezogene Daten in irgendeiner Form in Dateien speichert und verarbeitet.

Der Gesetzgeber hat unterschiedliche Zeitpunkte für das Inkrafttreten des BDSG festgelegt, um den Unternehmen die notwendige Vorbereitungszeit einzuräumen. Mit der Mehrzahl seiner Regelungen tritt das BDSG ab 1. Januar 1978 in Kraft, die Vorschriften über technische und organisatorische Sicherungsmaßnahmen werden erst 1 Jahr später wirksam. Bereits bis 1. Juli 1977 muß der betriebliche Datenschutzbeauftragte (DSB) bestellt werden. Unternehmen, die einen DSB installieren müssen, sollten nicht erst den gesetzlich verlangten Termin abwarten. Vom betrieblichen DSB gehen die maßgeblichen Anstöße zu den erforderlichen Datenschutz-Aktivitäten im Unternehmen aus. Es ist daher ratsam, den DSB sobald wie möglich zu benennen und - was besonders wichtig ist - seine Aufgaben im Unternehmen bekanntzumachen. Vor allem die Vorschriften, daß der Beauftragte für Datenschutz dem Firmeninhaber respektive Vorstand unmittelbar zu unterstellen ist, ist in dieser Form ungewohnt und bereitet in der Praxis manches Kopfzerbrechen. Es soll nun ein Lösungskonzept gezeigt werden, wie es bis jetzt in einem Großunternehmen schrittweise verwirklicht wurde und das auch für andere Unternehmen im Prinzip geeignet sein könnte:

Für Kapitalgesellschaften stellt sich die Frage, ob der DSB einem Vorstandsbereich zugeordnet werden soll und wenn ja, welchem. Denn: Bei einer Aktiengesellschaft ist als Vorstand der Gesamtvorstand im Sinne des Paragraph 76 Absatz 1 und 2 Aktiengesetz anzusehen. Es ist jedoch nur schwer durchführbar, den DSB dem Gesamtvorstand zu unterstellen, besonders dann, wenn dieser aus einer größeren Zahl von Mitgliedern besteht.

Im Interesse einer praktikablen Durchführung sollte das Aufgabengebiet des DSB - durch einen Vorstandsbeschluß - einem Vorstandsbereich zugeordnet und der DSB in der Datenschutzfunktion dem Leiter dieses Vorstandsbereichs unmittelbar unterstellt werden.

*Hauptreferent im Referat Datenschutz der Siemens AG

Datenschutz für Praktiker

WANTED: Der Profi

Wer von sieh behaupten kann, den Datenschutz im Griff zu haben und den Beweis dafür nicht schuldig bleibt, der möge in diesem CW-Forum antreten: Wir, die CW-Redaktion, glauben derzeit erst an Datenschutz-Halbprofis. Aber wir sind auch der Überzeugung, daß da und dort Detailprobleme bereits akzeptabel gelöst worden sind. Mit einzelnen Schwerpunkten der Datenschutz-Organisation beschäftigt sich eine heute beginnende Serie. Erstes Thema: Der Datenschutzbeauftragte im Unternehmen. Nächstes Thema: Die technische Organisation des Datenschutzes im Unternehmen. In Vorbereitung: Datenschutz bei DFÜ. Wir glauben, Ihnen etwas bieten zu können.

Entscheidungskriterien

PRO

Personalbereich:

- In personalintensiven Unternehmen entfällt der größte Teil der personenbezogenen Daten auf die Mitarbeiter.

- Verpflichtung zur Geheimhaltung in Personalangelegenheiten; Regelungen, wie Recht zur Einsichtnahme in die Personalakten.

Revision:

- Die Aufgabe des DSB, ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen, mit deren Hilfe personenbezogene Daten verarbeitet werden, und die Aufgaben der internen Revision, DV-Programme auf ihre Ordnungsmäßigkeit zu prüfen,

decken sich.

- Relativ neutrale Stellung und Unabhängigkeit als gute Voraussetzung zur Durchsetzung von Maßnahmen.

- Enger Kontakt zu Fachabteilungen und gute allgemeine Kenntnisse über betriebliche Verfahren.

Allgemeine Sicherheit:

- Die Ziele der betrieblichen Sicherheit Schutz vor Zerstörung und Verlust und die Ziele des Datenschutzes nach dem BDSG decken sieh, soweit es sich um die technische Datensicherheit handelt.

Organisation und Datenverarbeitung:

- Die Beschäftigung mit der Aufbau- u.

Ablauforganisation garantiert allgemeine Kenntnisse über Geschäftsablauf und die dabei angewandten Verfahren.

- Kenntnisse über die Datenverarbeitung sowie über Methodik gehören zum Handwerkszeug.

- Mitarbeit in Projektteams führt zu breiter Erfahrung auf dem Gebiet des Managements; und zur Kooperation-und Koordinierungsbereitschaft.

- Betriebliche D-Sicherungsmaßnahmen und technisch-organisatorische Maßnahmen nach Paragraph 6 BDSG sind gleich gerichtet.

- Neben der grundsätzlichen Übereinstimmung in allen D-Sicherungsfragen hat auch die betriebliche Organisation wirtschaftliches Interesse an der Einrichtung einer Datenübersicht, wie sie das BDSG verlangt.

- Der innerhalb der Organisation/Datenverarbeitung bestehende Instanzenzug, der sämtliche Bereiche und regionale Einheiten eines Unternehmens umfaßt, steht dem DSB zur Verfügung, wenn er in der Nähe dieses Funktionsgebietes angesiedelt wird.

- Da ein großer Teil der Tätigkeiten des DSB allgemein organisatorischer Art ist (Aufbau eines Dateiregisters, Herausgabe von Durchführungsbestimmungen), kommt ihm die in den Org/DV-Abteilungen vorhandene Erfahrung und Fachkapazität zugute.

- Keine Interessenkollision bzgl. der Zulässigkeit der Speicherung, Verarbeitung und Weitergabe personenbezogener Daten wie sie prinzipiell in den Anwenderfachbteilungen, wie Personal, Vertrieb etc., möglich sind.

CONTRA

- Das BDSG erstreckt sieh nicht nur auf Mitarbeiterdaten, sondern auch auf Daten von Kunden und Lieferanten.

- Auch in personalintensiven Unternehmen können Kunden- und Marktdaten einen größeren Anteil einnehmen als Mitarbeiterdaten.

- Fehlende oder unzureichende Fachkenntnisse auf den Gebieten Organisation, Datenverarbeitung und DV-Verfahrensrevision.

- Blickfeld zwangsläufig auf das Fachgebiet Personal ausgerichtet; kann daher dem Datenschutzthema als Gesamtausgabe nicht ganz gerecht werden (etwa personenbezogene Daten in Einkauf, Vertrieb).

- Die sonstigen Aufgaben des DSB würden den Rahmen der normalen Revisionsaufgaben sprengen.

- Eine Hauptaufgabe des DSB besteht in der Herausgabe von Richtlinien zur Durchführung des Datenschutzes; bei einer Verbindung des DSB mit dem Revisionsbereich würde damit gegen den Grundsatz verstoßen, daß der Fachverantwortliche sich nicht zugleich selbst revidieren kann.

- Maßnahmen zur Werkssicherheit könnten mit den Aufgaben des Datenschutzes in Interessenkollision geraten.

Aus diesen prinzipiellen Erwägungen verbietet es sich, die beiden Aufgabengebiete miteinander zu verflechten.

- Interessenkonflikte können entstehen, wenn die D-Sicherung zugunsten einer Beschleunigung des Ablaufes, oder um Terminverzögerungen zu vermeiden, vernachlässigt wird.

Dies geschah in der Vergangenheit öfter, darf jedoch nicht überbewertet werden, da hier das eigene Sicherheitsinteresse doch korrigierend wirkt.

- Dem Argument: Interesse des Datenverarbeiters gegen Datenschutzinteresse kann damit begegnet werden, daß der DSB den Teil der Überwachungsaufgaben, der sich mit der Anwendung der Datenverarbeitungsprogramme befaßt, auf die DV-Verfahrens-Revision überträgt. Darüber hinaus unterliegt der DSB selbst der Prüfung durch die interne Revision.

Anforderungsprofil für Datenschutzbeauftragte

Nach Paragraph 28 BDSG kann zum Beauftragten für den Datenschutz nur bestellt werden, wer die "zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt". Dies bedeutet, daß der zu benennende DS-Beauftragte folgende Qualifikation haben sollte:

Fachkunde

- Allgemeine Kenntnisse über den Geschäftsablauf und die dabei angewandten Verfahren,

da er

- eine Übersicht über die Art der gespeicherten personenbezogenen Daten und über die Geschäftszwecke und Ziele, zu deren Erfüllung die Kenntnis dieser Daten erforderlich ist, über deren regelmäßige Empfänger sowie über die Art der eingesetzten automatisierten Datenverarbeitungsanlagen zu führen hat (Paragraph 29, Ziffer 1).

- Kenntnisse über die Datenverarbeitung, und zwar über die Anwendungen sowie die technische und organisatorische Methodik,

da er

- die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen hat (Paragraph 29, Ziffer 2).

- Generelle juristische Kenntnisse und die Fähigkeit, die Vorschriften des Gesetzes auf betriebliche und örtliche Gegebenheiten umzusetzen,

da er

- die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz, bezogen auf die besonderen Verhältnisse in diesem Geschäftsbereich und die sich daraus ergebenden besonderen Erfordernisse für den Datenschutz, vertraut zu machen hat (Paragraph 29, Ziffer 3).

Zuverlässigkeit

- Fähigkeit zur Durchdringung komplexer Vorgänge und sachlichen Beurteilung.

da er

- bei der Realisierung des BDSG beratend und als Gutachter herangezogen wird und einen Ausgleich der unterschiedlichsten Interessen herbeizuführen hat.

- In hohem Maße Verantwortungsbewußtsein.

da er

- die Ausführung des Gesetzes im Rahmen der ihm übertragenen Aufgaben sicherzustellen hat.

Kooperationsfähigkeit

(aus betrieblicher Sicht):

- Fähigkeit zur Koordinierung und Bereitschaft zur Zusammenarbeit,

da er

- die Aufgaben im Zusammenwirken und in enger Abstimmung mit den beteiligten Stellen durchzuführen hat (Delegation auf vorhandene Funktionen/Stellen einschl. Querabstimmung in sämtlichen Bereichen des Unternehmens).

Verhandlungsgeschick und Durchsetzungskraft,

da er

- die sich aufgrund des Gesetzes ergebenden Maßnahmen auf der vollen Breite vorzubereiten und zu initiieren sowie ihre Einführung sicherzustellen und zu überwachen hat.

In der Diskussion um die erforderliche Qualifikation des DSB setzt sich die Erkenntnis durch, daß es sieh weder um ein Universalgenie noch um einen Mitarbeiter aus dem "dritten Glied" handeln kann.

Wägt man die verschiedenen Seiten miteinander ab, so werden insgesamt die Anforderungen an die Zuverlässigkeit und Kooperationsfähigkeit nicht geringer einzuschätzen sein als die fachlichen Fähigkeiten. Andererseits dürfte es dem DSB schwerfallen, sieh ohne die nötigen Sachkenntnisse gegenüber den Fachabteilungen durchzusetzen.