Die organisatorische Einordnung des Datenschutzbeauftragten unterhalb des Compliance Officer ist für die Organisation eine Möglichkeit die aber auch Gefahren beinhalten kann.
(firmenpresse) - Betrachtet man die Compliance als unternehmensweite Gesamtaufgabe, so ist ein Datenschutzbeauftragter und die Einhaltung des Bundesdatenschutzgesetzes BDSG eine zentrale Compliance Forderung. Als natürliche Reaktion ist die Zuordnung des Datenschutzbeauftragten in das Compliance Team nur eine logische Konsequenz. Doch genau hier liegt ein kritischer Aspekt, der in der Praxis zu Problemen führen kann. Doch worin liegt dabei genau das Problem?
Zur einfachen Veranschaulichung kann man den Betrieb eines normalen SAP Systems mit FI/CO und CRM betrachten. Der fachkundige Leser kennt hier die hohen Ansprüche der größeren Wirtschaftsprüfungsgesellschaften bzgl. der Testierfähigkeit. So sind die Systeme in der Regel aufgeteilt in ein Entwicklungssystem, das Qualitätsmanagement System und zuletzt das Produktionssystem mit den Echtdaten. Um sicherzustellen dass am Produktionssystem keine irregulären Manipulationen vorgenommen werden, sind Protokollierungen vorgesehen, bei denen auch personenbezogene Daten gespeichert werden. Das heißt es kann zwischen dem Datenschutzbeauftragten und dem IT Sicherheitsbeauftragten zu einem Interessenskonflikt kommen. Welche Konsequenzen kann das haben?
Sind er Datenschutzbeauftragter und der IT-Sicherheitsbeauftragter beide dem Compliance Officer unterstellt, so wird dieser Kraft seiner Position im Zweifel bei einer fachlichen Meinungsverschiedenheit eine Einigung herbeiführen. Da durch die jährliche Überprüfung durch die Wirtschaftsprüfung ein Anliegen des IT-Sicherheitsbeauftragten eher vakant wird als das des Datenschutzbeauftragten, besteht die Gefahr zugunsten des IT-Sicherheitsbeauftragten. Dies kann insofern zu einem Problem werden, als die gesetzliche Forderung unmittelbar dem Leiter der verantwortlichen Stelle, also dem Geschäftsführer oder dem Vorstand, unterstellt zu sein und dabei unabhängig und weisungsfrei die Aufgabe wahrnehmen zu können.
Also dann doch einfach eine Person für mehrere Rollen bestellen und somit dem Konflikt aus dem Weg gehen? Nein, auch die einfache Möglichkeit hat einen in sich hergeleiteten Interessenskonflikt das der Datenschutz auch tatsächlich bei der Bewertung verschiedener IT-Sicherheit Aspekte ausreichend herangezogen wird, wie bereits in einem einfachen Beispiele weiter oben untermauert wurde. Doch dieser absehbare Interessenskonflikt führt zu einem Ausschluss dieser Option wegen fehlender Zuverlässigkeit nach § 4f BDSG.
Fazit: Der Datenschutzbeauftragte hat eine gesetzlich gewünschte Sonderstellung innerhalb eines Unternehmens. Wird dieser Sonderstellung nicht ausreichend Rechnung getragen, kann im Schadensfall ein Organisationsversagen unterstellt werden, was in der Regel zu einer Haftung der Geschäftsführung oder dem Vorstand führen kann.
Informieren Sie sich über alternative Möglichkeiten unter:
Leistungen des Datenschutzbeauftragten
Der externe Datenschutzbeauftragte
Presskontakt:
Matthias Hemming
it4management
Up de Breede 2
46395 Bocholt
info(at)it4management.de
www.it4management.de
Die it4management bietet seinen Kunden hochqualifizierte Unterstützung in den Themenfeldern IT Compliance, IT Risikomanagement, Datenschutz und der Analyse und Bewertung von IT-Prozessen. Im Spannungsfeld des Tagesgeschäftes und steigenden gesetzlichen Rahmenbedingungen entwickeln wir ganzheitliche und praxisnahe Lösungsansätze für Ihr Unternehmen.
Besonderes Augenmerk legen wir dabei auf die Schnittstellen zwischen Ihrem Kerngeschäft und Ihrer EDV. Hierbei entwickeln wir gemeinsam individuelle Konzepte mit einem Umsetzungsfahrplan das Kundenunternehmen nicht überfordert oder ausbremst. Auch werden bestehende Managementsysteme sinnvoll mit genutzt, was die Pflege von parallelen Managementsystemen unnötig macht. So behalten Sie auch in der Zukunft Ihre Flexibilität und somit Ihrem Wettbewerbsvorteil.
Up de Breede 2, 46395 Bocholt