(PM) Bocholt, 20.06.2014 - Betrachtet man die Compliance als unternehmensweite Gesamtaufgabe, so ist ein Datenschutzbeauftragter und die Einhaltung des Bundesdatenschutzgesetzes BDSG eine zentrale Compliance Forderung. Als natürliche Reaktion ist die Zuordnung des Datenschutzbeauftragten in das Compliance Team nur eine logische Konsequenz. Doch genau hier liegt ein kritischer Aspekt, der in der Praxis zu Problemen führen kann. Doch worin liegt dabei genau das Problem?

Zur einfachen Veranschaulichung kann man den Betrieb eines normalen SAP Systems mit FI/CO und CRM betrachten. Der fachkundige Leser kennt hier die hohen Ansprüche der größeren Wirtschaftsprüfungsgesellschaften bzgl. der Testierfähigkeit. So sind die Systeme in der Regel aufgeteilt in ein Entwicklungssystem, das Qualitätsmanagement System und zuletzt das Produktionssystem mit den Echtdaten. Um sicherzustellen dass am Produktionssystem keine irregulären Manipulationen vorgenommen werden, sind Protokollierungen vorgesehen, bei denen auch personenbezogene Daten gespeichert werden. Das heißt es kann zwischen dem Datenschutzbeauftragten und dem IT Sicherheitsbeauftragten zu einem Interessenskonflikt kommen. Welche Konsequenzen kann das haben?

Sind er Datenschutzbeauftragter und der IT-Sicherheitsbeauftragter beide dem Compliance Officer unterstellt, so wird dieser Kraft seiner Position im Zweifel bei einer fachlichen Meinungsverschiedenheit eine Einigung herbeiführen. Da durch die jährliche Überprüfung durch die Wirtschaftsprüfung ein Anliegen des IT-Sicherheitsbeauftragten eher vakant wird als das des Datenschutzbeauftragten, besteht die Gefahr zugunsten des IT-Sicherheitsbeauftragten. Dies kann insofern zu einem Problem werden, als die gesetzliche Forderung unmittelbar dem Leiter der verantwortlichen Stelle, also dem Geschäftsführer oder dem Vorstand, unterstellt zu sein und dabei unabhängig und weisungsfrei die Aufgabe wahrnehmen zu können.

Also dann doch einfach eine Person für mehrere Rollen bestellen und somit dem Konflikt aus dem Weg gehen? Nein, auch die einfache Möglichkeit hat einen in sich hergeleiteten Interessenskonflikt das der Datenschutz auch tatsächlich bei der Bewertung verschiedener IT-Sicherheit Aspekte ausreichend herangezogen wird, wie bereits in einem einfachen Beispiele weiter oben untermauert wurde. Doch dieser absehbare Interessenskonflikt führt zu einem Ausschluss dieser Option wegen fehlender Zuverlässigkeit nach § 4f BDSG.

Fazit: Der Datenschutzbeauftragte hat eine gesetzlich gewünschte Sonderstellung innerhalb eines Unternehmens. Wird dieser Sonderstellung nicht ausreichend Rechnung getragen, kann im Schadensfall ein Organisationsversagen unterstellt werden, was in der Regel zu einer Haftung der Geschäftsführung oder dem Vorstand führen kann.

Informationen zu alternativen Möglichkeiten finden Interessierte unter www.it4management.de/leistung-datenschutzbeauftragter/ und www.it4management.de/externer-datenschutzbeauftragter/