Die Änderungen des Bundesdatenschutzgesetzes vom 01.09.2009:
Praktische Konsequenzen für Unternehmen

Von: MS

NIFIS e.V. im Gespräch mit Axel Hannappel, Inhaber der Hannappel Applied Secur(IT)y

 

NIFIS: Herr Hannappel, welche aktuellen Änderungen im Bundesdatenschutzgesetz betreffen Unternehmen unmittelbar?

Axel Hannappel: Die meisten mittelständischen Unternehmen werden typischerweise von den Änderungen bei der Auftragsdatenverarbeitung (§ 11 Abs. 2) betroffen sein. Diese bedingt jetzt einen verpflichtenden Katalog mit 10 Punkten und Mindestpflichtangaben zur Auswahl und Kontrolle von Anbietern von Dienstleistungen im Rahmen einer Auftragsdatenverarbeitung. Das wiederum bedeutet eine erhöhte Sorgfaltspflicht des Auftraggebers gegenüber der ursprünglichen Regelung des BDSG. Da die Regelung bereits zum 01.09.2009 in Kraft getreten ist, sind auch alle schon bestehenden Verträge anzupassen. Fehlerhafte Angaben sind sowohl für Auftraggeber als auch Auftragnehmer mit Bußgeld bewehrt.

NIFIS: Welche konkreten Schritte sollten Firmen jetzt unternehmen, um in Sachen Datenschutz auch zukünftig sicher organisiert zu sein?

Axel Hannappel: Firmen sollten sich zunächst mit der Erfassung und einem möglichen Review bestehender und neuer Verträge für die Auftragsdatenverarbeitung befassen und entsprechende Verträge schnellstmöglich nach §11 Abs. 2 BDSG anpassen. Zudem sollten Richtlinien für die Auswahl und Kontrolle von Auftragnehmern etabliert werden.

NIFIS: Die Möglichkeit, Datenschutz als Dienstleistung von externer Seite einzukaufen, erscheint vielen Unternehmen – gerade wegen aktueller Änderungen, die sie nicht immer im Blick haben – sehr reizvoll. Was sollten Unternehmen im Vorfeld einer solchen Entscheidung bedenken?

Axel Hannappel: Grundsätzlich gilt: Eine rein betriebswirtschaftlich ausgerichtete Entscheidung für einen externen Datenschutzbeauftragten kann für die Unternehmensstrategie in manchen Fällen sehr kurzsichtig sein.

Gerade für kleine und mittlere Unternehmen, die oft keine klaren und sauberen Funktionsabgrenzungen für Administration, Produktion/Betrieb/Infrastrukur haben und aus deren Verständnis IT oft noch nicht als möglicher kritischer Kernprozess des Unternehmens verstanden wird, profitieren unter dem Strich vom Einsatz eines externen DSB. Eine externe Bestellung bringt hier den Vorteil der kostengünstigen Bereitstellung und Aufrechthaltung der Ressourcen, die für gesetzeskonforme Anwendung des BDSG erforderlich sind und minimiert nicht zuletzt auch mögliche Kostenrisiken aus der Änderung des BDSG §4f. Der Nachteil: Diese Firmen entwickeln keine eigenen Kompetenzen im Thema Datenschutz.

Unternehmen des gehobenen Mittelstandes, die auch im IT-Bereich über definierte Funktionsabgrenzungen verfügen, können dagegen meist besser einen eigenen Mitarbeiter sinnvoll qualifizieren, der dann die Aufgabe als DSB zusätzlich mit übernimmt. Eine prozess- und projektorientierte Arbeitsweise ist Mitarbeitern aus den oben beschriebenen Bereichen bereits vertraut und bietet ihnen eine interessante Entwicklungsperspektive.

Ein einmaliger Erstaufwand für Ausbildung und eine mögliche Begleitung durch einen erfahrenen externen DSB sind aber auch hier sinnvoll, ebenso natürlich die laufende Weiterbildung des Mitarbeiters. Vorteil: Unternehmen entwickeln auf diese Weise eigene Kompetenzen im Thema Datenschutz – dies auch als solide Basis für eine mögliche spätere Qualifizierung nach ISO 27001.

 

---