Der Grundgedanke zum Datenschutz ist der, dass nur die Person frei handeln und agieren kann, die selbst entscheiden kann, welche Informationen über sie bekannt sind und auch wo. Dies ist eine wesentliche Grundlage für eine funktionierende Demokratie (siehe Grundgesetz Art. 1 + 2).

Damit dies gewährleistet werden kann, müssen Regeln eingehalten werden, für den Fall, dass die Daten verarbeitet werden müssen oder sollen. Andernfalls werden die Daten zur Handelsware und die Freiheit der Person ist nicht mehr gewährleistet (Person steht hier als Synonym für jeden einzelnen von uns).

Als personenbezogene Daten werden hier Daten verstanden, die sich auf eine natürliche Person beziehen (Name, Adresse, Bankverbindung, ...) und nicht allgemein verfügbar sind (z.B. Telefonverzeichnis o.ä.). Juristische Personen werden durch das Bundesdatenschutzgesetz nicht geschützt.

Jede Stelle (Unternehmen, Institution, Verein, Arzt, Krankenhaus, Steuerberater, etc. im folgenden überwiegend als Unternehmen bezeichnet), die also personenbezogene Daten verarbeitet, ist diesen Regeln verpflichtet, da ihr die Daten nicht gehören. Sie verarbeitet ein fremdes Gut. Der Respekt untereinander und vor der demokratischen Gesellschaft gebietet es eigentlich, diese Regeln einzuhalten. Um dies in der Hektik und unter dem Druck des Tagesgeschäfts auch sicherzustellen, wurden die Datenschutzgesetze entwickelt.

Die Anforderungen aus dem Bundesdatenschutzgesetz (BDSG) gehen zurück auf die entsprechende EU-Richtlinie von 1995. Diese wurde in allen EU-Mitgliedsstaaten in nationales Recht umgesetzt. Ursprünglich hatte nur Deutschland dazu die Funktion des Datenschutzbeauftragten installiert − allerdings bereits 1977. In den anderen EU-Staaten erfolgt die Prüfung durch eigens dazu geschaffene Behörden, mittels der so genannten Meldepflicht, die auch in Deutschland gilt, wenn kein Datenschutzbeauftragter bestellt ist.

Die Erfüllung der behördlichen Meldepflicht erfordert allerdings viel Zeit für die sorgfältige Erstellung der Unterlagen, die übrigens von den Aufsichtsbehörden vorgegeben werden. Ohne entsprechendes Know-how kann diese Aufgabe nicht den Anforderungen entsprechend geleistet werden. Aus diesem Grund gehen inzwischen auch weitere EU-Mitgliedsstaaten dazu über, die Funktion des Datenschutzbeauftragten zu installieren, einige sogar generell als externe Funktion, um damit Professionalität und Unabhängigkeit zu gewährleisten.

In den Regelungen zum Datenschutz sind mit § 9 BDSG (Anhang) auch deutliche Anforderungen an die Datensicherheit (IT-Sicherheit) gestellt worden. Dies liegt nahe, da in einer unsicheren IT-Umgebung auch kein Datenschutz gewährleistet werden kann.

Während üblicherweise kleine und mittelständische Unternehmen einen externen Datenschutzbeauftragten bestellen, da sich die Bestellung eines internen nicht lohnt, wurden in großen Unternehmen mit mehreren tausend Mitarbeitern früher stets interne Datenschutzbeauftragte berufen. Das hat sich insofern etwas gewandelt, als dass auch große Unternehmen immer häufiger eine externe Bestellung bevorzugen. Auch die Kostentransparenz spielt hier eine wichtige Rolle.

Dies hat vor allem mit der schnellen Verfügbarkeit der Qualifikation und der großen Erfahrung eines professionellen externen Datenschutzbeauftragten zu tun. Ein interner Datenschutzbeauftragter muss zunächst ausgebildet werden und besitzt dann noch keinerlei Erfahrung. Die Ausbildung ist bereits die erste Hürde, da es eine Vielzahl von unseriösen Schulungsangeboten gibt, die eine ungeeignete Ausbildung vermitteln, da bereits die Dozenten dort oft nur theoretische Kenntnisse dieses umfangreichen Gebietes besitzen.

Ein schlecht ausgebildeter unerfahrener Datenschutzbeauftragter ist im Unternehmen keine Unterstützung, sondern kann schnell zu einer Belastung werden. Kostspielig wird es besonders dann, wenn es bei großen Projekten mit straffen Zeitplänen und großen Budgets um die Einführung neuer Technologien oder Software geht, vor allem wenn der DSB dann nicht in der Lage ist, die Prozesse wirtschaftlich und datenschutzgerecht zu gestalten und die Vorbehalte von Betriebsrat oder Mitarbeitern durch professionelle Bearbeitung und Schulung abzubauen.

Bei der Bestellung des Datenschutzbeauftragten ist, neben vielen Punkten, vor allem die Frage des Interessenskonflikts von Bedeutung. Bereits im BDSG erfolgt der Hinweis, dass der DSB keinem Interessenskonflikt unterliegen darf. Da der Datenschutzbeauftragte die Verarbeitung personenbezogener Daten im Sinne des BDSG zu überwachen hat, darf er nicht aus einer Funktion kommen, die durch den DSB zu überwachen ist. Das betrifft natürlich den Personalleiter und Mitarbeiter seines Bereiches wie auch den IT-Leiter und dessen Mitarbeiter. Darüber hinaus sind aber auch IT-Dienstleister und deren Mitarbeiter befangen, da auch sie durch den DSB zu überwachen sind. Wie sieht wohl die Überwachung eines DSB aus, wenn er seinen eigenen Arbeitgeber − den IT-Dienstleister des Kunden − prüfen soll? Die Aufsichtsbehörden reagieren eindeutig und sehen hier keine wirksame Bestellung.

In Deutschland gibt es noch immer Unternehmen und Institutionen, die Datenschutz für eine bürokratische Einrichtung halten. Die Mehrzahl der erfolgreichen Unternehmen und Einrichtungen haben aber inzwischen die Vorteile eines professionellen Datenschutzes erkannt. Ein erfahrener und qualifizierter Datenschutzbeauftragter nimmt seine Aufgabe wie ein Prozessmanager wahr.

Wie beispielsweise im Qualitätsmanagement Anforderungen an die Prozesse der Produktentwicklung oder der Produktentstehung / Dienstleistung beschrieben und überwacht werden, so werden im Bereich des Datenschutzes wichtige Anforderungen an die Prozesse zur Verarbeitung personenbezogener Daten definiert und in die Prozessdokumentationen integriert.

In allen Fällen, die durch die Regelungen zum Datenschutz betroffen sind, wird der professionelle Datenschutzberater die Prozesse nach rechtlichen und unternehmerischen Gesichtspunkten so gestalten oder betreuen, dass sowohl den gesetzlichen Anforderungen entsprochen wird als auch die Unternehmensprozesse nachhaltig wirtschaftlich und wirksam funktionieren.

Bei entsprechender Qualifikation kann der Datenschutzbeauftragte dieselben Maßstäbe auch im Bereich der IT-Sicherheit anlegen. Damit werden dann auch die sensiblen bzw. lebensnotwendigen Unternehmensdaten so geschützt, wie es der Gesetzgeber für personenbezogene Daten vorgesehen hat. Genau an dieser Stelle entstehen umfangreiche Synergieeffekte, die erfolgreiche Unternehmen von anderen unterscheiden.

Seit 2005 nehmen die Prüfungen im Datenschutz und IT-Bereich im Zusammenhang mit Qualitätsaudits erheblich zu. Im Rahmen von z.B. DIN/ISO 9001 und deutlicher noch bei Zertifizierungen nach z.B. DIN/ISO 16949 geht ohne Datenschutz und Datensicherheit oft nichts mehr. Für uns und unsere Kunden sind die Zertifikate zunehmend eine sehr positive Bestätigung für die professionelle Arbeit in diesem Bereich.

Erst recht trifft das natürlich auf die Unternehmen zu, die sich gezielt an den Maßstäben eines IT-Sicherheitsstandards orientieren und danach zertifiziert werden (BSI, DIN/ISO 17799, 27001, etc.)

Ein unerfahrener unsicherer Datenschutzbeauftragter wird hier natürlich ganz anders agieren. Damit nichts falsch gemacht wird, passiert entweder gar nichts oder es wird ohne Bezug auf die Unternehmensrealität formalisiert und bürokratisiert. Im letzteren Fall wird der Datenschutz zum Selbstzweck. Der Zeitbedarf steigt laufend an und wichtige Unternehmensprozesse werden fahrlässig behindert.

Diesen Effekt konnte man in den Anfängen des Qualitätsmanagements ebenfalls beobachten, als noch unerfahrene schlecht ausgebildete Qualitätsmanager versucht haben, Unternehmensprozesse zu formalisieren. Im Qualitätsbereich ist diese Phase überwunden und auch in Bezug auf den Datenschutz erkennen immer mehr Unternehmen den Nutzen einer professionellen Beratung für die Verbesserung der sensiblen IT-Prozesse.

Das Bundesdatenschutzgesetz (BDSG) gilt nach § 1 Abs. 2 Nr. 3 BDSG für alle "nicht öffentlichen Stellen".

Das sind

• juristische Personen (AG, GmbH, Vereine etc.),
• Personengesellschaften (GbR etc.),
• nicht rechtsfähige Vereinigungen (Gewerkschaften, politische Parteien etc.) sowie
• natürliche Personen (Ärzte, Architekten, Rechtsanwälte etc.),

soweit sie personenbezogene Daten automatisiert, also unter Einsatz von Datenverarbeitungsanlagen erheben, verarbeiten oder nutzen.

Nach BDSG müssen Unternehmen, die personenbezogene Daten automatisiert verarbeiten und mindestens 10 Personen mit der Datenverarbeitung beschäftigen, binnen eines Monats nach Beginn der Datenverarbeitung einen DSB bestellen (§4f BDSG).

Bestellt werden darf nur eine Person, die gemäß §4f Abs. 2 BDSG die zur Erfüllung ihrer Aufgaben nötige Fachkunde und Zuverlässigkeit besitzt. Die Fachkunde beinhaltet dabei sowohl ein fundiertes juristisches Spezialwissen (Datenschutzrecht) als auch das entsprechende IT-Wissen.

Die Diskussion um den sogenannten Schwellenwert, also die Anzahl Mitarbeiter in einem Unternehmen, ab der ein Datenschutzbeauftragter zu bestellen ist, hat dazu geführt, das deutlich mehr Unsicherheit herrscht, wann und für wen das BDSG gilt.

Die oben genannte Scheindebatte geht an der Realität im Datenschutz vollkommen vorbei. Angesichts der erheblichen Vorteile, die durch einen professionellen Datenschutzbeauftragten entstehen können, besitzt die Frage des Schwellenwertes kaum eine praktische Bedeutung. Das Bundesdatenschutzgesetz − sowie alle weiteren Gesetze und Verordnungen zum Datenschutz − gilt für jedes Unternehmen und jede Stelle, die personenbezogene Daten verarbeitet − ganz unabhängig davon, wie viele Mitarbeiter damit befasst sind.

Lediglich dann, wenn mehr als neun Personen regelmäßig damit befasst sind, muss ein Datenschutzbeauftragter bestellt werden. Bei neun oder weniger Personen ist der Leiter der verarbeitenden Stelle selbst verantwortlich. Das ist in der Regel der Geschäftsführer oder Inhaber. Er selbst muss sich mit dem Gesetz auseinander setzen und die Einhaltung gewährleisten und er selbst haftet bei Verstößen. An dieser Pflicht hat sich nichts geändert.

Aus der Sicht eines Unternehmers, der sich voll und ganz mit den Dingen beschäftigen will, die sein Unternehmen erfolgreich machen, ist das keine Verbesserung. Daher entscheiden sich viele erfolgreiche Unternehmen nach wie vor dafür, sich in diesem Bereich professionell unterstützen zu lassen, um sich selbst auf die Kernaufgaben zu fokussieren.

Inzwischen hat es sich herum gesprochen, dass die Nichterfüllung der gesetzlichen Anforderungen Haftungsansprüche begründet, wenn es zu einem Schaden kommt. Die gesetzlichen Regelungen zur IT-Sicherheit kommen dabei nicht nur aus dem BDSG, sondern längst schon aus einer Reihe weiterer Gesetze, mit denen die Risiken des IT-Bereiches abgesichert werden sollen.

Aus diesem Grund interessieren sich inzwischen auch beispielsweise Wirtschaftsprüfer für die Sicherheit der IT-Umgebung. Sie testieren die Richtigkeit der Informationen, die die Grundlage für den Jahresabschlussbericht bilden. Sind diese nicht korrekt oder sicher, so ergeben sich Risiken, die durch den Jahresabschlussprüfer bewertet werden müssen und dafür haftet der Wirtschaftsprüfer. Die Richtlinien dazu ergeben sich aus den GoBS - den Grundsätzen ordnungsgemäßer Buchführungssysteme beim Einsatz der Informationstechnik, die auf die Regelungen nach HGB §§ 238 f. zurückgehen.

In unserer Beratungspraxis werden wir immer häufiger angesprochen, weil der Wirtschaftsprüfer eine Verbesserung der IT-Sicherheit angemahnt hat. Dieselbe Situation ergibt sich aber auch, wenn Kapitalgeber oder eben Versicherungen ihre Risiken kalkulierbar halten müssen (Basel II).

Aus diesen Gründen ist die IT-Sicherheit zunehmend auch Gegenstand des Risikomanagements nach KonTraG. Das heißt, die betroffenen Unternehmen richten ein Risikomanagement ein, wie im Gesetz gefordert, und stellen sehr bald fest, dass erhebliche Risiken durch eine nicht sichere IT-Umgebung entstehen können.

Im Gegensatz zu einem internen Datenschutzbeauftragten fallen bei einem externen DSB für den Auftraggeber keine weiteren Kosten für den Erwerb und Erhalt der Fachkunde (Ausbildung, Weiterbildung, Seminare, Konferenzen, ERFA-Kreise, Fachzeitschriften, Fachbücher, etc.), für Mitgliedsbeiträge in Fach- und Berufsverbänden oder bei Fehlzeiten an. Darüber hinaus genießt der externe DSB im Gegensatz zum internen keinen Kündigungsschutz. Er wird für eine Vertragslaufzeit nach den Vorgaben der Aufsichtsbehörden im Rahmen einer klar definierten Investition bestellt.

Die ds-quadrat Berater sind versichert. Es besteht eine Berufshaftpflicht- und Vermögensschadenshaftpflichtversicherung, die für die entsprechenden Schäden eintritt.

Sie erfahren vor jedem Projekt, welche Investitionen auf Sie zukommen. Projektpreise ohne doppelten Boden sind für uns selbstverständlich!

Bei Bestellungen (z.B. als externer DSB) werden Leistungspauschalen zu vereinbarten Terminen fällig, das schützt Sie vor unkalkulierbaren Liquiditätsabflüssen.

Wie jedes Unternehmen hat eine professionelle Datenschutzberatung Investitionen für Infrastruktur, Aus- und Weiterbildung, Arbeitsmaterial (Fachliteratur und Software) und qualifiziertes, erfahrenes Personal. Daher kann die Dienstleistung nicht billig sein. Wenn Ihnen diese Dienstleistung zu niedrigsten Konditionen angeboten wird, bedenken Sie auch folgendes:

"Es gibt kaum etwas auf dieser Welt, das nicht irgend jemand etwas schlechter machen und etwas billiger verkaufen könnte, und die Menschen, die sich nur am Preis orientieren, werden die gerechte Beute solcher Machenschaften.

Es ist unklug, zu viel zu bezahlen, aber es ist noch schlechter, zu wenig zu bezahlen. Wenn Sie zu viel bezahlen, verlieren Sie etwas Geld, das ist alles. Wenn Sie dagegen zu wenig bezahlen, verlieren Sie manchmal alles, da der gekaufte Gegenstand die ihm zugedachte Aufgabe nicht erfüllen kann.

Das Gesetz der Wirtschaft verbietet es, für wenig Geld viel Wert zu erhalten. Nehmen Sie das geringste Angebot an, müssen Sie für das Risiko, das Sie eingehen, etwas hinzurechnen. Und wenn Sie das tun, dann haben Sie auch genug Geld, um für etwas besseres zu bezahlen."

John Ruskin, britischer Sozialphilosoph (1819 bis 1900)