Kurz gemeldet

05.06.2018
Wohnen noch teurer als erwartet

Nach einer Studie der Volks- und Raiffeisenbanken ...


05.06.2018
Merkel wusste von BAMF-Lage

In der Affäre um Tausende ohne Rechtsgrundlage gen...


05.06.2018
Entspannung für Spanien und Katalonien

Sowohl die die spanische als auch die katalanische...


Verstärkung

Unternehmerpersönlichkeiten gesucht
Das EWiF sucht in ganz Deutschland Unternehmerpersönlichkeiten für die aktive Gewinnung und Betreuung seiner Mitglieder. Dies kann nach der Übergabe des Unternehmens eine interessante Aufgabe sein, um mit der Wirtschaft weiter in Kontakt zu bleiben. Bei Interesse oder für eine Empfehlung nehmen Sie bitte Kontakt auf.

 

Kontakt

Europäisches Wirtschaftsforum e.V. - EWiF

Verbindungsbüro Brüssel
c/o EUROPEAN COMMUNICATIONS
Dr. Ingo Friedrich
166 Avenue Louise
B-1050 Brüssel

 

 

Europäisches Wirtschaftsforum e.V. - EWiF
Deutschland
Friedrichstraße 149
D-10117 Berlin
Tel.: +49 (0)30 / 692 02 08 60
Fax: +49 (0)30 / 692 02 08 69

Europäisches Wirtschaftsforum e.V. - EWiF

Landesgeschäftsstelle Bayern


Edelsbergstraße 8
D-80686 München
Tel.: +49 (0)89 / 2 15 55 35-90
Fax: +49 (0)89 / 2 15 55 35-99

 

 

Sie sind hier: Startseite  Presse  Datenschutz- beauftragter

Der Datenschutzbeauftragte und die IT-Sicherheit

Von Wolf-Dietrich Richter und Dr. Florian Modlinger

 

Wolf-Dietrich Richter
Dr. Florian Modlinger

Auf den ersten Blick mag es wirken, als seien die mit dem Datenschutz einzuhaltenden administrativen Verpflichtungen, insbesondere die Bestellung eines betrieblichen Datenschutzbeauftragten (bDSB) nur bürokratische Last. Die Einrichtung einer solchen Funktion erfolgt daher wohl häufig vorwiegend zur Vermeidung von Sanktionen und stellt aus Sicht des Unternehmens einen bloßen Kostenfaktor dar. Die positiven Effekte, die eine Bestellung eines qualifizierten Datenschutzbeauftragten mit sich bringen kann, werden häufig nicht erkannt. Dies ist in einer isolierten Betrachtung der Funktion des Datenschutzbeauftragten begründet. Wird der bDSB dagegen in vorhandene Prozesse, beispielsweise die IT-Sicherheit, eingebunden, kann seine Tätigkeit durchaus einen Mehrwert für das Unternehmen stiften.
 

 

1. Abgrenzung IT-Sicherheit – gesetzlicher Datenschutz
Nach allgemeinem Verständnis verfolgen die IT-Sicherheit und der Datenschutzbeauftragte unterschiedliche Ziele bzw. orientieren sich an unterschiedlichen Zwecken. In der IT-Sicherheit geht es um den Schutz der Daten vor unbefugter Kenntnisnahme, Manipulation oder Löschung. Hauptaugenmerk liegt damit auf der Verhinderung von Wirtschaftsspionage und Datendiebstahl und betrifft somit das Unternehmen als Ganzes. Der Datenschutz dagegen hat den Schutz der Persönlichkeitsrechte sowohl von unternehmensinternen als auch -externen Betroffenen zum Ziel. Die genannten Ziele sollten jedoch sinnvollerweise nicht getrennt voneinander verfolgt werden. Eine optimale Lösung verbindet vielmehr die Aspekte des Datenschutzes mit denen der IT-Sicherheit. Die Herangehensweise und die Aufgaben stimmen weitgehend überein, weshalb sich in der praktischen Tätigkeit umfangreiche Synergieeffekte nutzen lassen. Dies zeigt sich schon am Aufgabenfeld eines bDSB.

 

2. Aufgabenfelder des DSB
Hintergrund für die datenschutzrechtlichen Regelungen, die Maßnahmen zur IT-Sicherheit betreffen, ist die Überlegung, dass vor Missbrauch geschützte Daten weniger Angriffsfläche für einen persönlichkeitsrechtsverletzenden Umgang bieten. Daher gehört zum Aufgabenbereich des Datenschutzbeauftragten auch die Durchführung von Datenschutz-Audits. Durch solche anlassunabhängigen Untersuchungen soll getestet werden, ob und wie die datenschutzrechtlichen Bestimmungen umgesetzt bzw. eingehalten werden und Schwachstellen sollen aufgezeigt werden. Dies betrifft insbesondere auch die Einhaltung technischer und organisatorischer Maßnahmen.
§ 9 BDSG bzw. die Anlage dazu stellt einen Katalog an Kontrollfunktionen für Prüfzwecke zur Verfügung, die auch hinsichtlich der allgemeinen IT-Sicherheit relevant sind, wie beispielsweise:
• Zutrittskontrolle
• Zugangskontrolle
• Zugriffskontrolle
• Weitergabekontrolle
• Eingabekontrolle
• Auftragskontrolle
• Verfügbarkeitskontrolle
• Trennungsgebot

 

Mit der Überprüfung der Einhaltung der Kontrollfunktionen zum Datenschutz stellt der bDSB den Erfüllungsgrad datenschutzrechtlicher Anforderungen fest. In Folge der immer stärkeren Integration von IT-Systemen umfasst das Aufgabengebiet des bDSB aber mittlerweile nicht mehr nur klassische Personaldaten, sondern regelmäßig vollumfängliche ERP-Systeme. Zwar ist die Zuständigkeit des bDSB auf personenbezogene Daten beschränkt, während die IT-Sicherheit sämtliche Daten bzw. Informationen eines Unternehmens zum Gegenstand hat. Da jedoch die Überschneidung größer ist, als auf den ersten Blick erkennbar wird und nur noch wenige Prozesse eines Unternehmens eine Datenverarbeitung von ausschließlich nicht-personenbezogenen Daten betreffen, findet sich genau hier der Ansatzpunkt für eine Ausweitung der Beauftragung des bDSB.

 

3. Verbesserung der IT-Sicherheit durch den bDSB?
Nahezu jeder Vorgang kann durch Bestell-, Kunden- oder Mitarbeiternummern mit einer bestimmten oder bestimmbaren Person in Verbindung gebracht werden. Selbst in der Produktion wird häufig festgehalten, welcher Arbeiter welches Bauteil eingebaut hat. Dadurch werden personenbezogene Daten zumindest miterfasst. Der Aufgabenbereich des Datenschutzbeauftragten ist somit eröffnet. Selbst wenn im Ausnahmefall keine personenbezogenen Daten behandelt werden, kann die Ausweitung des Aufgabenbereichs des bDSB sinnvoll sein.
Wie bereits dargestellt ist es unter anderem Aufgabe des bDSB, Datenschutzaudits durchzuführen und dabei insbesondere auch Aspekte der IT-Sicherheit zu beachten. Da er darauf hinzuwirken hat, dass Datenschutzvorschriften eingehalten werden, besteht hierbei die Möglichkeit, nicht nur Mängel aufzuzeigen, sondern konkrete Verbesserungsvorschläge zu machen. Für die Umsetzung ist allerdings das Unternehmen selbst und damit in der Praxis letztlich die IT-Abteilung zuständig. Aufgrund der empfohlenen betriebswirtschaftlichen, organisatorischen, IT-technischen und juristischen Kenntnisse des Datenschutzbeauftragten und in Folge der zentralen Stellung im Unternehmen hat er je nach Erfahrung die Möglichkeit, nicht optimale Unternehmensabläufe zu erkennen und kosten- und ressourcensparende Verbesserungsvorschläge zu machen. Vorteil des bDSB ist dabei, dass er organisatorisch nicht der IT-Abeilung angehört, wodurch zum einen eine gewisse Betriebsblindheit ausgeschlossen werden kann und zum anderen eine Kontrollinstanz im Sinne eines 4-Augen-Prinzips eingeführt wird. Auch Aufgaben zum Monitoring von IT-Sicherheitsprozessen können hier sinnvoll übertragen werden.
 

4. Ausbildung des bDSB
Ein solcher Mehrwert kann jedoch nur von einem entsprechend qualifizierten Datenschutzbeauftragten erwartet werden, weshalb es sinnvoll ist, einen Datenschutzbeauftragten nicht nur mit Minimalressourcen – also sozusagen als Feigenblatt für das Unternehmen – auszustatten. Ein einmaliger Datenschutzlehrgang reicht regelmäßig nicht aus. Vielmehr muss eine ständige Weiterbildung des Datenschutzbeauftragten gewährleistet sein. Dies betrifft sowohl die IT- und technischen Kenntnisse, die von einem zunehmend schnelleren technischen Wandel betroffen sind, als auch die rechtlichen Kenntnisse, die aufgrund zahlreicher Gesetzesnovellen und Änderungen der Rechtsprechung schnell veraltern. Wenn auch die Bestellung eines Datenschutzbeauftragten an eine Einzelperson gebunden ist, halten wir es für ratsam, künftig den Datenschutz als Teamaufgabe von IT-Experten, Betriebswirten und Juristen zu begreifen. Hierfür bietet sich die Bestellung eines externen Datenschutzbeauftragten an, der häufig auf ein spezialisiertes Beratungsteam zurückgreifen kann. Ein solches Datenschutz-Team kann einen echten Mehrwert gegenüber der Bestellung eines „Schmalspur“-Datenschutzbeauftragen erzeugen. Diese Überlegung sollte zumindest aufgegriffen werden.
 

5. Fazit
Zusammenfassend stellen wir fest, dass ein intensiv in Prozesse der IT-Sicherheit eingebundener bDSB nicht nur eine lästige Pflicht ist, sondern einen messbaren Vorteil für das Unternehmen bringen kann. Neben einer Verbesserung von Datenschutz und IT-Sicherheit sind auch Kostenvorteile nicht unrealistisch.

 

Wolf-Dietrich Richter und Dr. Florian Modlinger

 

Die Autoren:

Wolf-Dietrich Richter (Steuerberater, CRISC) ist Senior Associated Partner bei der BDO AWT GmbH Wirtschaftsprüfungsgesellschaft, München, und seit 2002 verantwortlicher Leiter des Administrationsbereiches Informationstechnologie.

 

Dr. jur. Florian Modlinger (Rechtsanwalt, Certified Fraud Examiner) ist Senior Consultant bei der BDO AWT GmbH Wirtschaftsprüfungsgesellschaft, München. Sein Tätigkeitsschwerpunkt liegt in der Beratung von überwiegend mittelständischen Unternehmen zu den Themen Compliance und Datenschutz.

 

Die BDO AWT GmbH Wirtschaftsprüfungsgesellschaft wurde im Jahr 1958 als AWT Allgemeine Wirtschaftstreuhand in München gegründet und hat sich bis heute zu einem der führenden Beratungs- und Wirtschaftsprüfungsunternehmen in Deutschland entwickelt. Durch unseren Zusammenschluss mit der BDO AG Wirtschaftsprüfungsgesellschaft sind wir seit 2011 in das internationale BDO Netzwerk, dem fünftgrößten Verbund dieser Art, eingebunden und profitieren von den ausgefeilten fachlichen und technischen Standards des Netzwerks und sorgen so für die bestmögliche Betreuung unserer Mandanten.

© EWIF - Wir Eigentümerunternehmer - Deutschland