Datenschutzbeauftragter als Gütesiegel für Vertraulichkeit
von G-A Kemmner; D. Stankovic1
Erweitert man die gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten, die vielfach als notwendiges Übel angesehen wird, auf den Schutz der Kundendaten, wird aus der Pflicht eine Kür.
Seit Mai 2001 regelt das Bundesdatenschutzgesetz (BDSG) den Umgang mit personenbezogenen Daten. Geschützt werden soll die informationelle Integrität natürlicher, noch lebender Personen. Schützenswerte personenbezogene Daten sind Angaben über persönliche und sachliche Verhältnisse einer bestimmten oder einer bestimmbaren Person. Zu ihnen zählen Basisdaten, die auf jeder Visitenkarte stehen, aber auch individuelle Zusatzinformationen wie Vorlieben, Familienstand, Geburtstag oder gar Vermögensverhältnisse. Solche Daten befinden sich in jeder Kunden- und Lieferantenkartei. Auch A&K erfasst, speichert und pflegt Daten in elektronischer Form. Abgesehen von den persönlichen Daten unserer Mitarbeiter pflegen wir beispielsweise in unserem CRM-System mehr als 7.000 Adressen.
Verschärfend kommt hinzu, dass wir regelmäßig umfangreiche Datenanalysen für Kunden durchführen. Bei den analysierten Daten handelt es sich zwar nie um personenbezogene Daten in Sinne des Bundesdatenschutzgesetzes, doch erachten wir diese Daten als genauso sensibel wie personenbezogene Daten. Vertraulichkeitserklärungen zwischen A&K und seinen Kunden stellen dabei einen ersten Sicherungsmechanismus dar. Definierte Prozesse, wie mit den Daten zu verfahren ist, ob und wie sie gespeichert und gesichert werden müssen, wer Zugriff auf welche Daten erhält, sind weitere notwendige Maßnahmen. Neben dem umfangreichen Tagesgeschäft ist es jedoch schwierig, all diese Aufgaben zu meistern, zumal nur Experten alle gesetzlichen Erfordernisse kennen und über das notwendige Wissen bezüglich möglicher und erforderlicher Maßnahmen verfügen.
Deshalb entschied sich Abels & Kemmner, das Projekt zur Überprüfung und Aktualisierung des Datenschutzes mit externer Unterstützung anzugehen. Ziel war es, nicht nur für die personenbezogenen Daten, sondern auch für die gesamten Material- und Produktdaten unserer Kunden die Verarbeitungsabläufe der Daten sowohl organisatorisch als auch technisch zu dokumentieren, Qualitätsstandards zu definieren und für ihre Einhaltung zu sorgen.
Im März 2007 analysierte deshalb ein Datenschutzspezialist der ikado GmbH die Datenschutzsituation bei A&K. Hierzu wurden Gespräche mit Sekretariat, IT-Verantwortlichen, Beratern und Geschäftsführern geführt. Weiterhin wurden die gesamte IT-Infrastruktur und die Räumlichkeiten unter die Lupe genommen. Diese Analysephase belastete die A&K-Mitarbeiter weit weniger als erwartet: Im Schnitt nur 90 Minuten. Die durchgeführte Analyse diente auch dazu, Schwachstellen aufzudecken und einen Maßnahmenplan zu erarbeiten. Im Datenschutzhandbuch wurden die Ergebnisse der Ist-Erfassung sowie der Maßnahmenplan festgehalten. Des Weiteren wurde ein Verfahrensverzeichnis erstellt. Letztlich wurden alle Mitarbeiter von A&K geschult und auf die Einhaltung der Datenschutzrichtlinie verpflichtet. Das Resultat: A&K verfügt jetzt nicht nur über ein umfassendes und geeignetes Instrumentarium, diese komplexe Problematik zu beherrschen, sondern auch über ein Qualitätssiegel für Kunden, das besagt: Sensible Daten sind stets in sicheren Händen.
Qualität hat viele Facetten: Die Maßnahmen zum Datenschutz mit Mehrwert sollten einem klaren Regelprozess folgen und eine übersichtliche und nachvollziehbare Dokumentation beinhalten.
Wenn auch Sie überlegen, die gesetzlichen Bestimmungen mit Mehrwert für Ihr Unternehmen aufzuwerten, empfehlen wir Ihnen, ähnlich zu verfahren. Hierbei ist zunächst zu prüfen, ob Sie die gesetzlichen Bestimmungen mit einem Mitarbeiter aus Ihrem Hause erfüllen können, oder ob es Sinn macht, einen externen Datenschutzbeauftragten zu bestellen.
Qualifikationsprofil des Datenschutzbeauftragten
Nach den Bestimmungen des BDSG muss ein Datenschutzbeauftragter benannt werden, der auf die Einhaltung des BDSG hinwirken soll. Der Datenschutzbeauftragte muss ein ausgewiesener IT-Spezialist sein, der organisatorische Abläufe analysieren und bewerten kann und über juristische Kenntnisse verfügt. Er darf nicht zur Geschäftsleitung gehören, nicht leitender Angestellter des Vertriebes und der IT-Abteilung sein. Auf diese Weise sollen Rollenkonflikte ausgeschlossen werden. Die Wahl eines geeigneten Mitarbeiters ist sowohl aus der Sicht des Unternehmens als auch des künftigen Datenschutzbeauftragten nicht unproblematisch: In den meisten mittelständischen Unternehmen ist es gar nicht so einfach, die Position des Datenschutzbeauftragten mit einer geeigneten, wirklich unabhängigen internen Person zu besetzen. Sicherlich spielen aber auch die Kosten bei der Einführung eines umfassenden Datenschutzmanagements eine entscheidende Rolle, denn die geforderte Dokumentation der betrieblichen Abläufe und des IT-Betriebes erfordern nicht nur Sachverstand, sondern auch Ressourcen. Die Problematik der Wahl eines geeigneten Mitarbeiters und die sich zwangsläufig ergebenden Rollenkonflikte innerbetrieblicher Datenschutzbeauftragter lässt sich deshalb oft mit der Benennung eines “externen Datenschutzbeauftragten” elegant lösen.
Ein Externer stellt darüber hinaus auch sicher, dass die Arbeit eines Datenschutzbeauftragten nicht im Tagesgeschäft untergeht; ein nicht zu unterschätzender Faktor. Wir gehen davon aus, dass wir es ohne externen Beistand der ikado GmbH nicht geschafft hätten, dieses Projekt weiter zu verfolgen, denn das Tagesgeschäft fördert stets andere Prioritäten zu Tage, die vermeintlich wichtiger sind.
Rückblickend auf die ersten drei Monate der neuen Organisation mit externem Datenschutzbeauftragten lässt sich jedoch feststellen: Die aufgedeckten geringen Mängel unserer Datenschutzorganisation sind beseitigt worden. Mit dem externen Datenschutzbeauftragten steht für Kunden, Mitarbeiter und Geschäftsleitung ein kompetenter Ansprechpartner zur Verfügung, der auftretende Fragen kurzfristig klären kann und der mit wachem Auge sicherstellt, dass durch technische Veränderungen oder neue Softwareprodukte keine Schutzlücken aufgetan werden.
Consulting und Datenschutz
Im Rahmen ihrer Beratungstätigkeit kommen Consultingunternehmen vielfach in Kenntnis und sogar in Besitz von personenbezogenen Daten ihrer Kunden. Meistens werden diese Daten auf mobile Rechner übertragen oder per E-mail verschickt. Nutzdaten und personenbezogene Daten sind dabei untrennbar vermischt.
Aus der Sicht des Datenschutzes sind hier Vorkehrungen zu treffen, um datenschutzrechtlich relevante Vorgaben korrekt umzusetzen.
Mit der Bestellung des externen Datenschutzbeauftragten der ikado GmbH hat sich A&K ein umfassendes und geeignetes Instrumentarium geschaffen, diese komplexe Problematik zu beherrschen. Praktizierter Datenschutz ist dabei für A&K nicht nur zu einem internen Qualitätsmanagementinstrument sondern auch zu einem Qualitätssiegel gegenüber den Kunden geworden, denn die Datenschutzrichtlinien gelten jetzt auch für sämtliche Kundendaten, auch jenseits personenbezogener Daten. Dies bietet Handlungssicherheit und schafft vor allem Vertrauen – von Anfang an.
1 Dragan Stankovic ist Datenschutzspezialist bei der ikado GmbH, einem Ingenieurbüro für Datenkommunikation und Datenbankorganisation in Aachen.
